آیتم 0
ثبت سفارش
تعداد
عنوان

  • 152
  • 893 مرتبه
انواع سیستم های تشخیص نفوذ:

انواع سیستم های تشخیص نفوذ:

11 بهمن 1396

 Network Based IDS NIDS

هر بسته ورودی به شبکه را برای حضور ناهنجاری و اطلاعات نادرست، کنترل می نماید. بر خلاف فایروال ها که نسبت به فیلتر نمودن بسته ها داده با محتوای آسیب رسان محدود می باشند، NIDS ها هر بسته را به صورت کامل کنترل می نمایند. یک NIDS صرف نظر اینکه ترافیک مجاز باشد، همه ترافیک ها را مانیتور نموده و مورد بررسی قرار می دهد. بر اساس محتوا، در هر IP یا سطح برنامه یک هشدار تولید می شود. یک NIDS اساسا برای شناسایی ناهنجاری های سطح روتر طراحی شده است و به ممیزی اطلاعات موجود در بسته های داده و ورود اطلاعات مخرب به شبکه می پردازد.  

Host-based Intrusion Detection

یک سیستم تشخیص نفوذ مبتنی بر میزبان رفتارهای مربوط به هر سیستم را مورد تجزیه و تحلیل قرار می دهد HIDS را می توان بر روی هر سیستم اعم از PC یا یک سرور نصب کرد.NIDS  ها معمولا دارای امکانات بیشتری نسبت به HIDS ها می باشند. یکی از NIDS برنامه ای است که بر روی یک سیستم اجرا شده و رخدادهای مربوط به برنامه ها و سیستم عامل را دریافت می کند. این برنامه ها برای تشخیص سوء استفاده داخل سیستم بسیار موثر می باشند. اگر یکی از کاربران سعی در فعالیت های غیر مجاز داشته باشد،HIDS  معمولا آن را در اسرع وقت شناسایی می کند. علاوه بر تشخیص فعالیت های داخلی غیر مجاز،HIDS  ها همچنین در تشخیص تغییر فایل ها به صورت غیر مجاز نیز موثر هستند.HIDS  پلتفرم محور بوده و تمرکز بیشتری بر روی سیستم عامل ویندوز دارد. اما HIDS های دیگری برای سیستم عامل های Unix هم وجود دارد. این مکانیسم معمولا شامل حسابرسی برای اتفاقاتی است که در یک میزبان خاص رخ می دهد.

Log File Monitoring LFM

الگو های ایجاد شده توسط سرویس های شبکه را مانیتور می کند. این IDS ها به منظور شناسایی رویدادهای مخرب، در میان فایل های رخداد به جستجو می پردازند. در شیوه ای مشابه به NIDS ها، این سیستم ها اقدام به جستجوی الگوهای خاص در فایل های رخداد که نشانه های یک نفوذ را دارد، می نمایند File Integrity Checking این مکانیزم ها تروجان ها یا فایل هایی که تغییر یافته اند را کنترل می نماید. از نمونه ای از این برنامه ها می توان به Trip wire اشاره نمود.e Trip  یک Verifier Integrity System می باشد که ساختار فایل های سیستم را مانیتور نموده و هر گونه تغییر در آن را شناسایی می نماید  .intrusions of indications general(نشانه های کلی نفوذ)

File System Intrusions

با مشاهده فایل های سیستم شما قادر به تشخیص وجود یک مزاحم خواهید بود. فایل سیستم ها، فعالیت های سیستم را ضبظ می کنند. هر گونه تغییر یا حذف در خصوصیات فایل به منزله مورد هدف قرار گرفتن سیستم است. اگر شما به تازگی یک فایل یا برنامه ناشناخته را روی سیستم خود مشاهده می کنید، ممکن است سیستم شما مورد نفوذ قرار گرفته باشد. این سیستم در معرض خطر است و می تواند به سیستم های دیگر در شبکه نیز آسیب وارد کند. زمانی که یک دسترسی اولیه به یک سیستم ایجاد شد، فرد مورد نظر می تواند این دسترسی را افزایش دهد. پس از آن نفوذگر اقدام به تغییر مجوزهای دسترسی می نماید. به طور مثال دسترسی ها را از فقط خواندنی به دسترسی نوشتن ارتقاء می دهد. تغییرات غیر قابل توضیح در اندازه یک فایل نیز نشانه ای از یک حمله است. شما باید از تجزیه و تحلیل فایل سیستم اطمینان حاصل کنید. شما می توانید نام فایل های نا آشنا در دایرکتوری ها را شناسایی کنید که شامل فایل های اجرایی با پسوند های عجیب و با پسوند های دوگانه می باشد. گم شدن فایل های نیز از نفوذ احتمالی به سیستم خبر می دهند.

Network Intrusions

افزایش ناگهانی در مصرف پهنای باند می تواند نشانه ای از یک نفوذ باشد. درخواست های اتصال از IP های دیگر از کسانی که در محدوده شبکه می باشند، نشان می دهد که یک کاربر غیر مجاز قصد تلاش برای اتصال به شبکه شما را داشته است. شما می توانید تلاش های مکرر برای ورود از ماشین های از راه دور را تشخیص دهید. داده های بسیار زیاد وارد شده در فایل های ثبت رخداد نشان دهنده تلاش برای حملاتی مانند انکار سرویس، مصرف پهنای باند و انکار سرویس توزیع شده می باشد. برای بررسی اینکه آیا سیستم مورد حمله قرار گرفته است یا خیر شما نیاز به بررسی پارامتر های خاصی که به وضوح نشان می دهد که یک مزاحم در سیستم شما وارد شده است. هنگامی که یک مزاحم تلاش می کند تا به یک سیستم نفوذ کند، به این موضوع توجه دارد که با تغییرات خاص در سیستم و پیکر بندی های خاص، نشانه های نفوذ خود را مخفی سازد. نشانه های خاص نفوذ به شرح زیر است:

· سیستم قادر به شناسایی کاربر معتبر نمی باشد.

· ورود به سیستم در ساعات غیر کاری

· تغییرات در نرم افزارهای سیستم و فایل های پیکربندی با استفاده از دسترسی مدیر و وجود فایر های مخفی

· شکاف در فایل های الگ و بازبینی که نشان می دهد سیستم برای آن زمان خاص بیکار بوده است. این شکاف در واقع نشان می دهد که تلاشی برای نفوذ صورت گرفته و رخداد های مربوط به آن حذف شده است.

· عملکرد سیستم به شدت کاهش می یابد

· سیستم به صورت ناگهانی قفل شده و بدون دخالت کاربر ریبوت می شود.

· دسترسی فعال بدون استفاده از ورود

· رخداد های سیستم بسیار کوتاه و ناقص هستند.

· برچسب های زمانی رخدادها تغییر یافته است که شامل ورودی های عجیب و غریب است.

· مجوز دسترسی روی رخداد ها تغییر یافته، از جمله مالکیت مربوط به رخدادها

· رخدادهای سیستم حذف شده اند

· عملکرد سیستم غیر طبیعی بوده و به روش های نا آشنا پاسخ می دهد.

· پروسه های ناشناس بر روی سیستم شناسایی می شوند.

 · صفحه نمایش به صورت غیر معمول کار کرده و پیام های متنی و پاپ آپ های نا متعارف در سیستم مشاهده می گردند.

نظرات

قوانین ارسال نظر

  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
  • با توجه به آن که امکان موافقت یا مخالفت با محتوای نظرات وجود دارد، معمولا نظراتی که محتوای مشابه دارند، انتشار نمی‌یابند بنابراین توصيه مي‌شود از مثبت و منفی استفاده کنید.

فهرست موضوعات

راهنمای خرید
ورود به فروشگاه
 
ارسال سریع
 
پارس شعاع توس
 
سیم و کابل شهاب جم
 
امید پدیده
 
پارسه شید