سیستم های تشخیص نفوذ شبکه
طاهره مصطفویدر۱۴۰۳/۲/۱۸
سیستم های تشخیص نفوذ شبکه (NIDS) به طور گسترده ای در محیط های مختلف شبکه مستقر می شوند. در مقایسه با یک NIDS بر اساس ناهنجاری ، یک NIDS مبتنی بر امضای الکترونیکی(توالی داده ها برای تشخیص) در برنامه های کاربردی دنیای واقعی، به دلیل نرخ هشدار غلط نسبتا پایین آن محبوب تر است. با این حال، روند تطبیق امضا یک عامل محدود کننده کلیدی مانع از عملکرد یک NIDS مبتنی بر امضا است، که در آن هزینه حداقل (دارای رابطه) خطی با اندازه یک رشته ورودی و نرخ اشغال پردازنده که می تواند در بدترین حالت به بیش از 80٪ برسد.
نرم افزارهای مخرب مانند کدهای مخرب، کرم اتوران، تروجان سرقت کننده رمز عبور، بهره جوهای دانلود کننده و مبتنی بر وب، بیشتر و بیشتر از همیشه شایع تر شده اند (به عنوان مثال، حدود 20٪ افزایش تهدیدات نرم افزارهای مخرب در گزارش تهدید مک آفی: سه ماهه دوم، 2012). برای حفاظت بهتر از امنیت شبکه، سیستم های تشخیص نفوذ شبکه (NIDS) تبدیل به یک جزء ضروری برای حفاظت از شبکه های مختلف (به عنوان مثال، یک شبکه سازمانی) در برابر حملات شبکه های متفاوت شده اند. استفاده گسترده از NIDSها یک راه حل قدرتمند است که مکمل تکنولوژی دیوار آتش(فایروال) کنونی برای دفاع در برابر حملات و ترافیک شبکه مشکوک که توسط یک فایروال نادیده گرفته می شود، می باشد.
به طور سنتی، سیستم های تشخیص نفوذ شبکه را می توان به دو پوشه(دسته) دسته بندی کرد: NIDS مبتنی بر امضا و NIDS بر ناهنجاری. یک NIDS مبتنی بر امضا (بر پایه قوانین نیز نامیده می شود)، حملات احتمالی شبکه را با مقایسه امضا (رد) آن در برابر رویدادهای مشاهده شده تشخیص می دهد. یک امضا ( یا قانون نامیده می شود) یک الگو است که یک تهدید شناخته شده را توصیف می کند. یک NIDS بر پایه ناهنجاری با مقایسه وقایع از پیش تعریف شده طبیعی (یا پروفایل طبیعی) در برابر وقایع مشاهده شده جاری، انحرافات قابل توجه را شناسایی می کند.
در برنامه های کاربردی(اپ) دنیای واقعی، تشخیص مبتنی بر امضا به دلیل نرخ هشدار غلط نسبتا پایین آن از روش های تشخیص دیگر شایع تر است.(سیارک)
به طور خاص، این سیستم های تشخیص معمولا یک پایگاه داده امضا را برای انجام فرایند تطبیق امضا و به روز رسانی پایگاه داده بصورت دوره ای، نگهداری می کنند. اسنورت (Snort) را به عنوان مثال در نظر بگیرید، این NIDS مبتنی بر امضا وزن سبک منبع باز، شامل چهار جزء اصلی است (از جمله یک موتور گرفتن بسته، پلاگین های پیش پردازنده، یک موتور تشخیص دهنده، و پلاگین های خروجی) و جزء اصلی، موتور تشخیص دهنده است که بسته های ورودی را با امضای ذخیره شده در پایگاه داده مقایسه می کند. تعداد و پیچیدگی امضاها از عوامل اصلی موثر بر عملکرد تطبیق امضا (یا به نام تطبیق رشته) می باشد. به طور کلی، یک تعداد زیادتر امضا می تواند طیف وسیع تری از حملات شبکه را نسبت به گروه های کوچکتر امضا پوشش دهد؛ و امضا محدودتر(کوچکتر)، با توصیف یک حمله با ویژگی های بیشتر، می تواند یک نرخ هشدار غلط کمتر از یک امضا آزادتر را بدست دهد.
مسئله. امروزه اگر چه توان محاسباتی رایانه قوی و قوی تر می شود، قابلیت محدود محاسبات هنوز هم یک مسئله برای یک NIDS مبتنی بر امضا محسوب می شود، که توسط ترافیک با حجم بالا و افزایش تعداد و پیچیدگی امضاهای NIDS ایجاد می شود. به عنوان مثال، “اسنورت” به سرعت حافظه کامپیوتر را زمانی که در یک ترافیک شبکه با حجم بالا مستقر شده، استفاده می کند و این وضعیت باعث می شود که “اسنورت” تعداد زیادی از بسته های ورودی را رها کند . علاوه بر این، روند تطبیق رشته، در جستجو برای یک الگوی حمله در بسته های دریافتی خیلی گران است بطوری که مصرف پردازش با اندازه یک رشته ورودی دارای حداقل رابطه خطی است . به طور خاص، “اسنورت” معمولا حدود 30٪ از کل زمان پردازش خود را صرف مقایسه رشته های ورودی با امضا ذخیره شده می کند، اما زمان صرف شده می تواند به 80٪ افزایش یابد زمانی که آن با ترافیک وب فشرده مواجه شده است. با روند افزایشی تهدیدات شبکه، به نظر می رسد که حجم کار یک NIDS با افزایش تعداد و پیچیدگی در مورد امضاهای NIDS سنگین تر خواهد شد.
برای کاهش مشکل فوق، چندین روش مانند: بهبود الگوریتم های تطبیق امضای و پیش فیلتر کردن بسته های شبکه ارائه شده است. در کاربری واقعی، ما می بینیم که روش لیست سیاه به طور گسترده در تشخیص اسپم استفاده می شود ، اما آن را خیلی در ساخت یک بسته برای یک IDS مورد مطالعه قرار نگرفته است. این مقاله ادامه دارد...........ترجمه itrans.ir