بستهها و کم بودن نرخ از دست رفتن بستهها بوده است[3, 28, 31, 32]. از این نظر IDS خوب ابزاری است که با به کارگیری حداقل منابع سختافزاری، بیشترین حجم ترافیک عبوری را پردازش کند.
لزوم استفاده از شبکه مدیریت برای راه اندازی سیستم تشخیص نفوذ باید معلوم شود. بعضی از ابزارها مانند Bro با ارائه یک چارچوب ارتباطی امن سعی داشتهاند، ارتباطات را در بستر شبکه اصلی انجام دهند و لزوم نصب شبکه مدیریت را از بین ببرند و از لحاظ هزینه نصب سیستم صرفه جویی کنند. از این نظر ابزار مناسب باید این امکان را داشته باشد.
از دیگر معیارهای اندازه گیری بهرهوری تاخیر است. تشخیص سریع حملات نقش بسزایی در تولید پاسخ سریع و مناسب دارد. این موضوع درمورد حملات دسترسی داده و سیستم بسیار مهم است، چرا که ممکن است در فاصله زمانی تشخیص حمله تا تولید پاسخ، دسترسی غیر مجاز مورد نظر صورت گیرد و دادههای حیاتی سیستم به سرقت برود و یا تغییر کند، یا آن که مهاجم بتواند سطح دسترسی خود را به یکی از سیستمها افزایش داده و کنترل آن را به دست گیرد. در این حالت باز هم امکان پیشروی مهاجم تا رسیدن به اهداف دورتر و مهم تر افزایش مییابد. در هر حال سیستم باید پاسخ بلادرنگ را در زمان کمی تولید کند.
در مورد سیستمهای IDPS که با داشتن حسگرهای بر خط قادرند جلو ورود ترافیک ناهنجار را بگیرند بحث تاخیر یک بعد تازه پیدا میکند. این قسمت نباید به گلوگاه ترافیکی دسترسی سیستم به شبکه اینترنت مبدل شود. در هر حال این سیستم تاخیر دسترسی به خارج شبکه را افزایش میدهد، ولی ابزار خوب باید دارای تاخیر حداقل باشد.
2-3-6-9- کار با حداقل سربار و امکان بررسی عملکرد و بهرهوری ابزار تشخیص نفوذ
معمولا انتظار میرود عملکرد سیستم با حداقل امکانات سختافزاری صورت پذیرد و به این ترتیب هزینه استفاده و نصب سیستم کمینه باشد. سیستمی مناسب است که به اندازه کافی سبک باشد.
یکی از نکات قابل توجه درمورد سیستمهای تشخیص نفوذ امکان مشاهده بهرهوری بخشهای مختلف سیستم است. مشاهده متغیرها و اطلاعات بهرهوری امکان ارزیابی وضعیت خود IDS را فراهم میکند. بسیاری از ابزارها از جمله Snort امکان پویش بهرهوری خود ابزار را دارند. به این ترتیب گزارش کاملی از تعداد عملیاتهای انجام شده، تعداد قوانین مقایسه شده و عملکرد کلی ابزار به دست میآید که میتواند برای تعیین حدود آستانه و پیکربندی سیستم تشخیص نفوذ مورد استفاده قرار گیرد.

3- فصل سوم

3- پیشینه تحقیق
3-1- ترکیب فیلترینگ و روشهای آماری برای تشخیص ناهنجاری [33]
از آنجایی که ما نمیتوانیم پیشاپیش بفهمیم که آیا یک سیستم یک رفتار ناهنجار دارد و یا چه مسیری را طی میکند، این متد[33] بسیار در این زمینه مفید است که بتوان با ترافیک به دست آمده باقیمانده ترافیک ورودی را تحلیل و رفتار سیستم را تخمین زد. ماتریس ترافیک در واقع نمآینده (قسمتی از) ترافیک کل میباشد. در واقع هر ورودی ماتریس ترافیک متوسط ​​حجم ترافیک، در یک فاصله زمانی مشخص را تعیین میکند، که در یک گره منبع ارسال شده قرار میگیرد و به سمت گره مقصد خاص فرستاده شدهاست.
در [33] از چهار روش برای تشخیص حملات غیر معمولی استفاده شدهاست که دو مورد آن جدید هستند. آنها ابتدا از روش Kalman استفاده میکنند تا رفتارهای عادی شبکه را از غیر عادی جدا کننده و سپس از چهار روش فوق استفاده میکنند. این روشها یکی بر رفتار لحظه شبکه تمرکز دارد، یکی دیگر بر تغییر در میانگین روند باقی مانده متمرکز است، سومین روش تغییرات در رفتار واریانس را بررسی میکند، و چهارم به بررسی تغییرات واریانس طی بازههای زمانی مختلف میپردازد. در اینجا از تخمین استفاده شدهاست و نه از پیش بینی و از مفهومی به نام Traffic Matrix استفاده گردیده است. یک ماتریس ترافیک یک ابزار پویا است که به طور مستمر در طول زمان تکامل مییابد، در نتیجه معمولا برای تخمین زدن تغییرات شبکه میتوان از یک ماتریس ترافیک برای هر فاصله زمانی استفاده کرد (به عنوان مثال، هر 5 یا 10 دقیقه). با استفاده از ماتریس ترافیک ما رفتار (ترافیک) شبکه در 5 دقیقه بعد را تخمین میزنیم. سپس وقتی به زمان 5 دقیقه بعد رسیدیم ترافیک واقعی را با میزان تخمینی خود مقایسه میکنیم. اگر تفاوتی بسیار اندک وجود داشت که خطای تخمین به صفر میل خواهد کرد. در غیر اینصورت اگر متفاوت باشد یعنی ممکن است که این تغییر به خاطر حمله رخ داده است بنابر این باید آنرا بررسی کرده و حمله را تشخیص داده و گزارش دهیم.
3-2- تجزیه و تحلیل سیگنال ناهنجاریهای ترافیک شبکه [34]
ساده ترین روش مقایسه ترافیک لحظه باقی مانده با آستانه است. روش دوم بر اساس مقایسه یک مقدار محاسبه شده با یک مقدار تخمینی کلی است.[34] در این روش اگر تنها یک بار این مقدار با هم فرق داشته باشد به عنوان حمله تلقی میگردد. در روش سوم باید در چند زمان مختلف این تفاوت در مقدارها وجود داشته باشد. روش چهارم با استفاده از آزمون نسبت درستنمایی تعمیم یافته برای شناسایی لحظهای ناهنجاری و با شناسایی تغییر در نرخ متوسط ​​سیگنال باقی مانده کار میکند. دو روش آخر بر اساس محاسبات آماری کار میکنند و جدید میباشند. در اینجا از منحنی ROC (مشخصه عامل گیرنده) به عنوان معیارهای ارزیابیهای کلیدی استفاده شدهاست. منحنی ROC استفاده گستردهای در تشخیص پزشکی و تئوری تشخیص سیگنال دارد، اما نسبتا در امنیت شبکه کمتر استفاده شدهاست. منحنی ROC یک نمایش گرافیکی از مقایسه ب
ین نرخ مثبت کاذب و منفی کاذب برای هر آستانه تصمیم گیری ممکن است. تفاوت این مقاله با مقاله [35] در چند چیز است:
1) در این مقاله از فیلترهای کالمن (Kalman) برای پردازش دادههای پیوندی ورودی وایجاد ماتریس ترافیک پیش بینی استفاده شدهاست در حالی که دیگری از تجزیه و تحلیل PCA استفاده کرده است.
2) در اینجا از OD (Origin-Destination) برای پیگیری هر جریان به گونه مجزا استفاده کرده است، در حالی که دیگری از پیوند داده در هنگام تجزیه و تحلیل باقیمانده استفاده میکند.( از جریان OD به عنوان یک مرحله ثانویه، پس از تشخیص ناهنجاری، به منظور شناسایی منبع استفاده میکنند)
3) در این مقاله دو روش جدید را پیشنهاد شدهاست و یک ارزیابی مقایسهای از چهار روش انجام میدهد اما دیگران تنها یک آزمون در ترافیک باقی مانده در نظر میگیرند.
4) در روش این تحقیق برای اعتباردهی متفاوت از داده Abilene با ناهنجاری مصنوعی به عنوان تستهای مکمل استفاده شدهاست.
5) ارزیابی این تحقیق متفاوت است چرا که از منحنی ROC برای ارزیابی، بررسی و تشخیص بار تاخیر و همچنین حساسیت به اندازه حجم آنومالی استفاده میکند.
کند بودن و برخط نبودن این روش از معایب آن به شمار میآید که برای شناسایی حملات در زمان حاضر مفید نخواهد بود. همچنین این نوع از شناساییها که تخمینی میباشند دارای میزان خطای بالا میباشد که در مواقعی جلوی ترافیک سالم را میگیرد و در مقابل اجازه عبور به حملات را میدهد. ایجاد ترافیک پردازش بالا و پیچیدگی الگوریتم نیز بر معایب آن میافزاید.
3-3- یک چارچوب سیستمهای تشخیص نفوذ مشارکتی برای شبکههای محاسبات ابری [8]
در [8] برای محافظت از محیط محاسبات ابری یک قالب برای استفاده از IDS طراحی گردید که در آن بتوان حملات از نوع DDoS را به صورت متمرکز مدیریت نمود. آنها بر این عقیده بودند که اگر به ازاء هر ماشین مجازی یک IDS استفاده شود میتوان مدیریت حملات را به خوبی انجام داد و با تبادل اطلاعات بین آنها به حملات پاسخ دهند. بنابراین در قالب طراحی شده هر ماشین یک بلاک جداگانه در نظر گرفته شد و برای IDS آن سه ماژول جدا طراحی گردید. این سه ماژول block، communication و cooperationبودند. بخش تعاون از پیامهایی برای هماهنگی با دیگر بخشها استفاده مینمود. با تبادل اطلاعات بین IDSها آنها به پیامهای یکدیگر رای میدادند و در نهایت یک استراتژی هماهنگ در برابر حمله اتخاذ میگردید. سپس هر IDS بر اساس استراتژی تعیین شده یک بلاک دستوری به جدول خود اضافه مینمود تا در برابر این نوع از حمله عکسالعمل نشان دهد.
در این ساختار تا زمانی که هر یک از ماشینها به کار خود ادامه بدهند مشکلی بوجود نخواهد آمد. اما با مختل شدن هر یک از ماشینها تبادل اطلاعات به خوبی انجام نمیپذیرد و حملهای تشخیص داده نمیشود و میتواند سیستم را به کلی از کار اندازد. همچنین اگر بخش ارتباطی نیز مختل گردد باز هم مشکلات بیشتر خواهد شد. مسئله دیگر سرعت تبادل اطلاعات میباشد که خود میتواند گلوگاهی برای سیستم باشد. همچنین همین مدیریت و کنترل درست تبادل اطلاعات بین IDSها خود مسئلهای است که باید به دقت پیادهسازی گردد. در شکل (3-1) روند اجرایی سیستم را مشاهده میکنید. ابتدا بسته دریافت میشود. سپس تحلیل شده و نتیجه ممکن است پذیرش آن و یا رد و حذف آن باشد. اما پیش از حذف نیز چک میشود اگر میزان این نوع حمله از حد مورد نظری بیشتر شده باشد دستور بلاک کردن فرستنده صادر میگردد و به جدول بلاک شدهها اضافه میشود. عملیات بلاک شدن با توجه به رای همه ماشینهای موجود در سیستم میباشد و در صورت به حد نصاب رسیدن، یعنی در بیشتر ماشینها حد آستانه گذرانده شده باشد، بلاک انجام خواهد شد.
3-4- شناسایی حمله در ابر [9]
در [9] به طراحی یک معماری مدیریتی IDS توسعه یافته پرداخته شدهاست که در آن IDS در کل سیستم توزیع گردیده است که همگی زیر نظر یک مرکز کنترل و واحد مدیریت میباشند. در این تحقیق سنسورهایی به عنوان IDS در سیستم فراهم کننده خدمات و کاربران کار گذاشته میشود که به محض بروز هر نوع ناهنجاری به مرکز کنترل و مدیریت گزارش داده میشوند و مرکز درمورد آن تصمیمگیری میکند. این متد با مفهوم مجازی سازی همخوانی دارد و به همین دلیل موثر عمل میکند. اما مشکل این سیستم این است که کاربران نیز به عنوان اپراتور میتوانند به سیستم دستور دهند و تصمیمگیری کنند. بنابراین ممکن است کاربر، به دلیل نداشتن آگاهی کافی درمورد حمله، دستور مناسب را فرا نخواند و باعث مشکل بیشتر گردد. در شکل (3-2) و شکل (3-3) این سیستم را مشاهده میکنید.
همانطور که در شکل (3-3) دیده میشود، در هر ماشین یک سنسور قرار داده شدهاست تا به محض دیدن ناهنجاری آنرا گزارش دهد. این کار به صورت ارسال یک رویداد125 به بخش جمع کننده رویدادها126 انجام میشود. سپس رویدادها به قسمت جمع کننده موجود در سرور منتقل میشوند. در آنجا یک نسخه آن در پایگاه داده ذخیره میگردد تا در آینده بتوان بر روی آنها تحلیل انجام داد و نسخه دیگر نیز به بخش تحلیل127 فرستاده میشود. سپس عملیات مناسب را برای اجرا تهیه و به بخش کنترل از راه دور128 سیستم داده میشود تا بر روی ماشین مجازی مورد نظر اعمال گردد.
3-5- سیستمهای تشخیص نفوذ و مدیریت ورودی چند سطحی در محاسبات ابری [36]
روش دیگری که برای محافظت از محیط ابری طراحی شد در [36] میباشد. در این مقاله حملات با توجه به میزان خسارت و همچنین سطح حملات آنها در محیط ابری دسته بندی شدند بر این اساس برای هر حمله یک ریسک خطر تهیه و به آنها داده شد و بر
اساس آن روشی برای مقابله با آن در نظر گرفته شدهاست. در جدول (3-1) میتوانید این دسته بندی و شمارههای سطح داده شده به برخی حملات مهم را ببینید.
جدول ‏3 1 شرح میزان ریسک ناهنجاریها در [36]
نوع ترافیک فعالیت ناهنجاری
میزان ریسک
تلاش برای دسترسی به دستورات مدیریتی خارج از محدوده
8
اختصاص فضای حافظه سیستم عامل کاربران
7
اختصاص کارت شبکه از طریق غیر معمول
6
بالارفتن ترافیک کاربر بیش از 500 برابر معمول
6
تغییر IP کاربر در هنگام استفاده از محیط ابری
6
تلاش برای دسترسی به سیستم کاربران از سوی مدیر محیط
5
دخالت سیستم عامل کاربری در سیستم عامل کاربر دیگر
5
بالارفتن ترافیک کاربر بیش از 300 برابر معمول
4
دسترسی مدیر به سیستم عامل میزبان بدون اعلام
4
شکست بیش از 5 بار در ورود به محیط
3
IP نامعتبر
3
استفاده از شماره

Written by 

دیدگاهتان را بنویسید