سیستم تشخیص نفوذ
سیستم تشخیص نفوذ Intrusion Detection System یا به اختصار IDS وظیفه تشخیص هر گونه استفاده غیرمجاز به سیستم، سوء استفاده یا آسیبرسانی توسط کاربران را بر عهده دارند. تشخیص و جلوگیری از نفوذ، امروزه به عنوان یکی از مکانیزمهای اصلی در برآوردن امنیت شبکهها و سیستمهای کامپیوتری مطرح است و عمومأ در کنار فایروال ها و به صورت مکمل امنیتی برای آنها مورد استفاده قرار میگیرند.
مقدمه
در سال های اخیر، تعداد افرادی که از اینترنت استفاده می کنند، به سرعت افزایش یافته است، که نشان دهنده الزام یک سیستم حفاظت مناسب می باشد. به طور کلی، نفوذ مخرب یا حمله به سیستمها و پایگاه های اطلاعاتی ممکن است خط مشی های امنیتی سیستمها، یعنی محرمانه بودن Confidentiality، یکپارچگی Integrity و قابلیت دسترسی Availability را از بین ببرد. تکنیک های سنتی مانند تکنیک های رمزگذاری داده، مکانیزم های تأیید هویت کاربر و فایروال ها به عنوان ضروریات حفاظت برای محافظت از کامپیوترها و شبکه ها اعمال می شود. علاوه بر این سیستم ها، سیستم های تشخیص نفوذ و سیستم های پیشگیری از نفوذ Intrusion Prevention Systems به عنوان ابزار امنیتی در لایه شبکه می توانند مسئولیت بازدارندگی در کنار تجهیزات ذکر شده برای شناسایی و جلوگیری از فعالیت های مخرب، را بر عهده بگیرند و محافظت موثر را فراهم کند.
این سیستم ها می توانند به صورت یک دستگاه سخت افزاری اجرا شوند و همچنین به عنوان یک محصول نرم افزاری نیز می توانند به صورت اتوماتیک ترافیک شبکه را تجزیه و تحلیل کنند و در صورت نیاز گزارش های امنیتی را به دفتر مدیریت گزارش دهند. علاوه بر این، IDS ها نیاز به تجزیه و تحلیل در زمینه های بیشتری در مقایسه با فایروال هایی که فقط چند زمینه از یک بسته را تجزیه و تحلیل می کنند دارند.
نفوذ چیست و چگونه انجام می شود؟
در واقع نفوذ به مجموعه ی اقدامات غیرقانونی و غیر مجاز که سه عامل صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد اطلاق می گردد. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد. نفوذگرها عموماً از عیب های نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.
ضرورت استفاده از سیستم های تشخیص نفوذ
در دنیای امروز، کامپیوتر و شبکه های کامپیوتری متصل به اینترنت نقش عمده ای در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوز به سیستم های کامپیوتری را در پیش گرفته اند Intruder و Cracker ،Hacker کلماتی هستند که امروزه کم و بیش در محافل کامپیوتری مطرح می باشند و اقدام به نفوذ به سیستمهای دیگر کرده و امنیت آن ها را به خطر می اندازد. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه های کامپیوتری که با دنیای خارج ارتباط دارند، کاملأ محسوس است.
از آنجا که از نظر فنی ایجاد سیستم های کامپیوتری بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است، تشخیص نفوذ در تحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود. سیستم های تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است. عمومأ سیستم های تشخیص نفوذ در کنار فایروال ها و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.
مزایای استفاده از سیستم های تشخیص نفوذ
- کارایی بیشتر در تشخیص نفوذ،در مقایسه با سیستم های دستی
- منبع دانش کاملی از حملات
- توانایی رسیدگی به حجم زیادی از اطلاعات
- توانایی هشدار نسبتا بلادرنگ که باعث کاهش خسارت می شود
- دادن پاسخ های خودکار،مانند قطع ارتباط کاربر،غیر فعال سازی حساب کاربر،اعمال مجموعه دستورهای خودکار وغیره
- افزایش میزان بازدارندگی
- توانایی گزارش دهی
طبقه بندی سیستم های تشخیص نفوذ
به طور کلی، سیستم های تشخیص نفوذ را از دو دیدگاه نوع تکنولوژی Technology type و روش تشخیص Detection methodology قابل بررسی است. از دیدگاه نوع تکنولوژی می توان دو حالت سیستم تشخیص نفوذ مبتنی بر میزبان Host based مبتنی بر شبکه Network based در نظر گرفت و همچنین سیستم های تشخیص نفوذ از دیدگاه روش تشخیص بر اساس دو تکنیک متمایز، یعنی تطابق الگو misuse detection و ناهنجاری های آماری anomaly detection عمل می کنند.
سیستم تشخیص نفوذ مبتنی بر میزبان Host based
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی از قبیل دسترسی به فایلها، تروجان ها و … را که توسط سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند را تشخیص دهد.
سیستم تشخیص نفوذ مبتنی بر شبکه Network based
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سیستم تشخیص نفوذ مبتنی بر شبکهاست. NIDS، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار NIDS، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رؤیایی با بستههای رمزشده یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
روش تشخیص بر اساس تطابق الگو misuse detection
سیستم تشخیص نفوذ مبتنی بر تطابق الگو، که به نام IDS یا مبتنی بر سوء استفاده نامیده می شود، می تواند الگوهای حمله شناخته شده ای را که امضاهای آنها در پایگاه داده IDS ذخیره شده اند، بررسی کند. در این مدل، حسابرسی برای وقایع تفسیر شده به عنوان نشانه های حمله قبلی جستجو می شوند؛ به همین ترتیب، سیستم تشخیص نفوذ، یک هشدار حمله ایجاد می کند تا مدیر امنیت شبکه را مطلع کند. معایب اصلی سیستم های تطبیق الگو، عدم توانایی آنها در شناسایی حملات ناشناخته است که امضای آنها در پایگاه داده IDS نیست.
روش تشخیص بر اساس ناهنجاری های آماری anomaly detection
در سیستم های مبتنی بر آنومالی آماری که IDS مبتنی بر آنومالی نامیده می شود الگوهای رفتارهای عادی در پایگاه داده IDS ذخیره شده اند. در این سیستم ها، تمام اقدامات در سراسر شبکه تحت نظارت و دقیق تجزیه و تحلیل قرار می گیرند، هر گونه انحراف از الگوهای نرمال به عنوان یک حمله در نظر گرفته شده است که در آن سیستم تشخیص نفوذ زنگ هشدار می دهد تا مدیر امنیت شبکه را در مورد حملات شناسایی شده جدید اطلاع دهد. مزیت اصلی سیستم های تشخیص مبتنی بر آنومالی توانایی تشخیص حملات ناشناخته است.
بیشتر بدانید
طبقهبندی حملات در لایه های مختلف شبکه های بین خودرویی
دسته بندی متون احساسی با ویژگی های BIGRAM مبتنی بر الگوریتم تکاملی
پاورپوینت آموزش شبیه سازی شبکه با استفاده از NS2
استفاده از داده کاوی در سیستم تشخیص نفوذ
همانطور که قبلا اشاره شد، عملیات IDS های مبتنی بر آنومالی یا ناهنجاری anomaly detection کاملا وابسته به الگوهای طبیعی ذخیره شده است. به همین ترتیب، ارائه پایگاه داده جامع منجر به دقت تشخیص بالا است. علاوه بر این، تهیه یک پایگاه داده مناسب برای سیستم های مبتنی بر آنومالی شامل مراحل آموزش و تست می شود. الگوهای طبیعی در فاز آموزش تعریف می شوند و ترافیک فعلی با مشخصات ذخیره شده در مرحله تست مقایسه می شوند. برای بهبود بهره وری IDS ها، تکنیک های مبتنی بر هوش مصنوعی، مبتنی بر یادگیری ماشین، داده کاوی، دستور زبان، تکنیک های الهام گرفته از طبیعت و غیره مورد استفاده قرار می گیرند.
اصلیترین روش تشخیص نفوذ روش دوم یعنی IDS های مبتنی بر آنومالی یا ناهنجاری هست. در این روش استفاده از الگوریتمهای یادگیری ماشین بسیار رایج است. در روش های یادگیری ماشین با توجه به دستهبندی، مدلی استخراج میشود که بر اساس آن میتوان با دقت مناسب تشخیص نفوذ در سیستم جدید را انجام داد. یافتههای قبلی بر اساس یادگیری از متریکهای بهدستآمده از حملات نشان میدهد ارتباط قوی بین این متریکها و تشخیص نفوذ وجود دارد. الگوریتمهای مختلفی برای دستهبندی وجود دارد از جملهی این روشها میتوان به درخت تصمیم، الگوریتم k همسایه نزدیک، الگوریتم نیوبیزین، بردار پشتیبانی ماشین و شبکههای عصبی میباشد.
دیتاست یا مجموعه داده سیستم تشخیص نفوذ IDS
دیتاست KDD99 به عنوان يك دادهي استاندار براي ارزيابي سيستم هاي تشخيص نفوذ پذيرفته شده و مورد استفاده قرارگرفته است. اين داده اعتبار خود را از سومين مسابقه بين الملي كشف دانش و داده كاوي كسب كرده است. گروه IST از آزمايشگاه MIT Lincoln زير نظر DARPA و AFRL/SNHS ، اولين داده هاي استاندارد براي بررسي و ارزيابي سيستم هاي تشخيص نفوذ را جمع آوري نمودند. اين اطلاعات در طول چند هفته در يك شبيه سازي براي آزمايش سيستم تشخيص نفوذ DARPA به كار رفته اند. اين مجموعه داده ها براساس سال جمع آوري اطلاعات ( 1998 – 1999 ) طبقه بندي شده است. دیتاست KDD99 شامل ركوردهاي اتصال استانداردي مي باشد كه مجموعه اي از حملات و نفوذهاي شبيه سازي شده در يك شبكه نظامي را شامل مي شود.
يك اتصال با پروتكل TCP ،UDP و يا ICMP است كه در زمان هاي مشخص شروع و پايان مي يابد و بين آن زمان ها، داده ها از آدرس IP مبدأ به آدر س IP مقصد و برعكس تحت يك پروتکل تعريف شده جريان دارند. هر اتصال به عنوان نرمال (Normal) يا حمله (Attack) برچسب گذاري مي شود و در مورد حمله، نوع آن دقيقاً مشخص مي گردد.
حملاتي كه در اين مجموعه داده مشاهده مي شوند، در چهار دسته اصلي U2R ،R2L ، DOS و Probe قرار مي گيرند. دیتاست KDD99 در قالب چند فايل سازماندهي گرديده اند. در اين مجموعه از فايل ها، دو فاي به نام هاي 10_percent و corrected وجود دارند كه در بسيار ي از پژوهش ها از دیتاست 10_percent براي آموزش و آزمايش سيستم هاي طراحي شده به استفاده میگردد.
جزئیات دیتاست KDD99
مجموعه داده KDD99 یا همان فایل 10_percent در مخزن داده ای UCI موجود است و می توانید از اینجا دانلود کنید. همانطور که قبلا هم گفته شد حملاتي كه در اين مجموعه داده مشاهده مي شوند، در چهار دسته اصلي U2R ،R2L ، DOS و Probe قرار مي گيرند. اما در خود فایل 10_percent در 23 دسته مختلف قرار دارد از این رو طبق مقالات و رفرنس های متنوع ما نیز این دسته بندی را بصورت زیر در 4 گروه انجام می دهیم. و اعداد جلوی آنها مربوط به تعداد رکوردهای موجود است.
There are total of 23 types of attack, and all of them belong to the four main attack categories (DoS, R2L, U2R, Probing) and normal.
%normal.=normal. =97278
%DoS=back. land. neptune. pod. smurf. teardrop. =391458
%R2L=warezclient. warezmaster. spy. multihop. phf. ftp_write. guess_passwd. imap.=1126
%U2R=rootkit. perl. loadmodule. buffer_overflow.= 52
%Probing=portsweep. satan. ipsweep. nmap.= 4107
بنابراین ما 5 کلاس داریم که یک کلاس مربوط به حالت نرمال و 4 کلاس مربوط به حمله است. تعداد کل داده های 10 درصدی494021 رکورد می باشد. این دیتاست شامل 41 ویژگی یا ستون است و ستون 42 نیز معرف نوع حمله یا نرمال بودن است. در زیر تصویری از این دیتاست مشاهده می شود.
هر کدام از ستون ها معرف یک خصیصه از یک اتصال است که در فایل دانلودی از سایت UCI قابل مشاهده است.
بیشتر بدانید
تبدیل دیتاست KDD99 برای استفاده الگوریتم های یادگیری ماشین در متلب
سمینار پروتکل های پوششی آگاه از انرژی در شبکه های حس گر بی سیم
پروتکلهای مسیریابی انرژی کارآمد در شبکههای حسگر بیسیم
استفاده از الگوریتم های تکاملی در سیستم های تشخیص نفوذ
یکی از مسائل اصلی در استفاده از دیتاست سیستم های تشخصیص نفوذ، حجم زیاد ویژگیها است که باعث کاهش دقت نتایج دستهبندی توسط الگوریتم های یادگیری میشود. برای انتخاب ویژگیهای موثر و برای حل این مشکل از روش کاهش ابعاد ویژگیها استفاده میکنند انتخاب ویژگی های موثر برای کلاس بندی یک مسئله NP-Hard است و می توان با استفاده از الگوریتم های تکاملی آن را حل کرد. پس یکی از راه کارها استفاده از الگوریتم های تکاملی همچون الگوریتم ژنتیک، PSO، گرگ خاکستری، الگوریتم وال، الگوریتم زنبور عسل، الگوریتم شعله و پروانه الگوریتم کلونی مورچگان و … می باشد.
الگوریتم ژنتیک
در الگوریتم ژنتیک دو فاز داریم . فاز اول آموزش است که اطلاعات اولیه مورد نیاز سیستم را به آن آموزش می دهیم. فاز دوم تشخیص است که سیستم، نفوذ را بر اساس آموزش های فاز اول نفوذها را تشخیص می دهد. در سیستم های تشخیص نفوذی که از الگوریتم ژنتیک برای آموزش استفاده می نمایند، یک سری قوانین اولیه دسته بندی شده در پایگاه داده قرار می دهیم و با بکارگیری الگوریتم ژنتیک 15 قوانین جدیدی تولید شده و به قواعد قبل اضافه می شوند. در شکل زیر ساختار یک الگوریتم ژنتیک ساده نشان داده شده است.
الگوریتم های ژنتیک، از تکامل ژنتیکی به عنوان یک الگوی حل مسئله استفاده می کند. راه حل ها طبق یک الگو کد گذاری می شوند که تابع هر راه حل کاندید را ارزیابی می کند که اکثر آن نام دارد و برازندگی می شوند. تکامل از یک مجموعه کاملا تصادفی از جامعه اولیه شروع می شود و در نسل های بعدی تکرار می شود. این فرآیند تکرار می شود تا این که به آخرین مرحله برسیم.
3 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.