پایان نامه درمورد انواع ارتباطات

دانلود پایان نامه

مربوط به حمله را دارا ميباشند. به علت عبور ترافيک از اين حسگرها بايد قابليتهاي سختافزاري و نرمافزاري آن به نحوي باشد که به گلوگاه بهرهوري تبديل نشود. بر طبق پيشنهاد بنياد بين المللي استاندارد و فناوري[27] توپولوژي شکل (2-2) براي همبندي اجزاي سيستمهاي تشخيص نفوذ تحت شبکه پيشنهاد شدهاست. در اين ساختار حسگر IDS بعد از درگاه شبکه اينترنت عمومي و ديواره آتش قرار ميگيرد. اين حسگر دو واسط شبکهاي براي ورود و خروج ترافيک و نيز يک واسط براي ارتباط با شبکه مديريت دارد. با وجود ديواره آتش بعد از تشخيص نفوذ امکان اعمال سياستهاي مسدودسازي براي محدوده آدرس IP خاص در دورههاي زماني مشخص وجود دارد. همچنين حسگر IDS به محض تشخيص حمله امکان پاسخ سريع و بلوکه کردن آن را دارد. مديريت و پيکربندي حسگرهاي IDS از طريق سرور مرکزي مديريت انجام ميشود. دسترسي به اين سرور و انجام پيکربنديهاي مديريتي نيز معمولا از طريق کنسولهاي کاربري بر روي سيستمهاي ديگر صورت ميپذيرد. اين سيستم همچنين ميتواند داراي پايگاه داده باشد.

* حالت بي اثر
در اين حالت حسگرها يک کپي از ترافيک واقعي شبکه را پويش ميکنند و امکان بلوکه کردن مستقيم ترافيک را ندارند. بيشتر سوئيچهاي شبکه داراي يک درگاه به نام درگاه پوشان هستند که تمام ترافيک مربوط به همه درگاهها روي آن قرار داده ميشود. با اتصال واسط شبکهاي IDS به اين درگاه امکان دسترسي به تمام ترافيک شبکه وجود دارد. همچنين امکان انشعاب مستقيم از لينک ارتباطي وجود دارد109. حسگرهاي تشخيص نفوذ ميتوانند در نقاط کليدي شبکه و در ورودي قسمتهاي مختلف قرار گيرند. از جمله جاهاي مهم عبارتند از : بعد از ديواره آتش، در ابتداي ناحيه غير نظامي110 و همچنين در ورودي شبکه داخلي. ناحيه غير نظامي زير شبکه منطقي يا فيزيکي است که شامل سرويس دهندههايي مانند وب،ايميل و… به شبکه اينترنت خارجي است. براي دسترسي به اين سرويسها امکانايجاد ارتباط از خارج شبکه، نياز است، که اين مساله موجبايجاد آسيب پذيري در مورد حملات ميشود. با جدا کردن اين ناحيه از بقيه شبکه داخلي سازمان توسط ديواره آتش مجزا از شبکه داخلي سازمان در مورد حملات و نفوذهاي احتمالي حفاظت ميشود. در حالت کلي ميتوان گفت سطح امنيتي و سياست امنيتي اين ناحيه نسبت به شبکه داخلي متفاوت و پايين تر است، به همين خاطر به آن ناحيه غير نظامي گفته ميشود.
امکان توزيع ترافيک بين حسگرها در نقاطي که ترافيک عبوري سنگين دارند، با استفاده از تسهيم کننده ترافيک وجود دارد. اين ويژگي در سيستمهاي شبکهاي توزيع شده به تفصيل مورد بررسي قرار ميگيرد. مانند حالت قبل هر کدام از حسگرها خواه با استفاده از شبکه مديريت يا با استفاده از بستر شبکه اصلي با سرورهاي مديريت ارتباط برقرار ميکنند. در اين سيستمها انتخاب پاسخ مناسب براي حمله در سرور مديريت اتفاق ميافتد که سياست مربوطه ميتواند از طريق ديواره آتش اعمال شود.
2-3-3-3- سيستمهاي توزيع شده
امروزه با روند افزايش پهناي باند شبکهها و نياز به پويش بي وقفه اين دادهها، سيستمهاي تشخيص نفوذ تحت شبکه هم بايد همگام با آنها توسعه پيدا کنند. امروزه روشهاي معماريهاي متمرکز مبتني بر شبکه، جوابگوي شبکههاي امروزي نيست[3]. اين روشها براي تشخيص حملات چند مرحلهاي و نگهداري وضعيت انواع ارتباطات و نيز مراودات پروتکلي در جريان، به خاطر وجود يک نقطه سرويس دهي، سيستم دچار کوبيدگي و افت گذردهي ميشود. الگوريتمهاي تشخيص نفوذ مبتني بر يک سري قوانين هستند که به سرعت در حال بزرگ شدن هستند.ايجاد IDSهاي توزيع شده نياز به تمهيداتي براي معماري شبکهاي، نرمافزار مناسب براي عملکرد توزيع شده و تقسيم ترافيک شبکه بين بخشهاي موازي دارد.
براي عملکرد IDSهاي توزيع شده، دو نوع تکنيک مطرح وجود دارد: تقسيم ترافيک111 و متعادل کردن بار112[3]. شکل (2-3) بيانگر اين معماري است.
روشهاي مبتني بر تقسيم ترافيک بيشتر بر اساس جريانهاي دادهاي و سياستهاي امنيتي و ساختار IDS با اين هدفها کار ميکنند:
* بستههاي مربوط به هر کدام از حمله کنندههاي احتمالي به يک حسگر وارد شود.
* بر اساس سرعت و پهناي باند شبکه عملکرد و بهرهوري حفظ شود.
* تطابق پذيري سيستم در شرايطي با ترافيکهاي مختلف.

روشهاي مبتني بر تعادل بار در هر زمان مقدار بار مناسبي براي هر کدام از حسگرها در نظر ميگيرد به نحوي که از ظرفيت سيستم به نحو بهينه استفاده شود. تعادل بار ميتواند به دو صورت برآورده شود:
* استفاده از تسهيم کننده113 بار: اين ابزار در ورودي شبکه قرار ميگيرد و کل ترافيک شبکه بايد از آن عبور نمايد. به همين دليل بايستي ابزار مورد استفاده توانمندي بالايي داشته باشد تا به گلوگاه عبور ترافيک تبديل نشود.
* هر کدام از حسگرها با استفاده از چندين الگوريتم تسهيم بار و انجام محاسبات خاص، حسگرهايي را که دچار بار بيش از حد شدهاند را تعيين کرده و با انجام تنظيمهاي خاص، باعث ميشود که بار ورودي به آنها کاهش يابد[3].
اين عمليات با روشهاي مختلفي ميتواند صورت پذيرد. از جمله فيلتر کردن زودرس، که بعضي از بستهها در خود تسهيم کننده بار پردازش ميشوند. روش ديگر استفاده از يک گره مرکزي است، که از ديگر گرهها پيغامهايي را دريافت ميکند و بار زياد بر روي هر کدام از حسگرها و يا بروز حملات توزيع شده در شبکه يا حملات چند مرحلهاي را متوجه ميشود. بعد از اين مرحله اين گره با ارسال فرمانهاي کنترلي باعث ميشود که جريان بستهها در حس
گرها به نحو پويا تنظيم شود. اين الگوريتمها پيچيدگي بالايي دارند ولي در صورت پياده سازي موفق، بهرهوري قابل توجهي دارند.
به طور کلي براي سيستمهاي توزيع شده، موازي سازي عمليات تشخيص نفوذ در چهار سطح ميتواند صورت گيرد: سطح بستهها، سطح مراودات پروتکلي، سطح قانونهاي امنيتي و سطح اجزاي سيستم تشخيص نفوذ[3]. در شکل (2-4) اين معماريها نشان داده شدهاند.
1) موازي سازي در سطح بستهها: در اين حالت يک تسهيم کننده بار با سياست گردشي، بستهها را بين حسگرها تقسيم ميکند. در اين صورت تعادل بار به نحو مناسبي صورت ميگيرد. با اين حال براي ايجاد حالتمندي و حفظ اطلاعات جريانهاي مختلف و مراودات پروتکلي مختلف و همينطور داشتن اطلاعات کامل از هر ارتباط، نياز به عنصري تحت عنوان تحليل گر ارتباطات114 هستيم. اين عنصر تمام دادههاي مورد نياز خود را از طريق پيش پردازندهها به دست ميآورد. در ساختار چنين سيستمي بايد هريک از حسگرها با اين تحليلگر ارتباطات، ارتباط مناسب و امني داشته باشند. همچنين در پياده سازي آن بايد دقت بسياري شود، چون به سادگي ميتواند به گلوگاه بهرهوري تبديل شود.
2) موازي سازي در سطح ارتباطات و مراودات پروتکلي: در اين روش در تسهيم کننده بار، توزيع بستهها به روشي صورت ميگيرد تا بستههاي مربوط به هر کدام از ارتباطات به يک حسگر وارد شوند. در اين حالت وجود جدولها و اطلاعات مربوط به هر کدام از جريانها در هر يک از حسگرها ضروري است. در اين ساختار بايد توجه شود که بايد براي تشخيص حملات چند مرحلهاي و حملات مربوط به چندين ارتباط، نياز به عنصري تحت عنوان تحليلگر شبکه115 داريم. اين عنصر بايد توانايي تحليل رويدادهاي مربوط به جريانهاي مجزا و ايجاد ارتباط بين اين رويدادها را داشته باشد. اين روش موازي سازي هيچ تضميني در مورد تقسيم عادلانه بار ارائه نميدهد.
3) موازي سازي در سطح قوانين: در اين روش قوانين موجود در IDS بين حسگرهاي مختلف تقسيم ميشود. عنصري در ابتداي مسير تحت عنوان Traffic Duplicator يک کپي از ترافيک را براي هر کدام از بستهها ميفرستد. به اين ترتيب هر کدام از حسگرها مسئول اعمال تعداد محدودي از قوانين بر روي بستهها ميباشد. در صورت تقسيم مناسب قوانين بين حسگرها و اعمال قوانين از يک کلاس و دسته به يک حسگر خاص، عمل تشخيص به بهترين نحو صورت گرفته و تعادل بار صورت ميگيرد. با اين حال، هر کدام از حسگرها بايد جداگانه عمليات پيش پردازش و حذف بستههاي زائد را انجام دهد که اتلاف منابع را نسبت به روشهاي ديگر در پي دارد.
4) موازي سازي در سطح اجزا: در اين روش اجزاي ساختاري سيستم تشخيص نفوذ در چند حسگر قرار ميگيرد. اين حسگرها به صورت مجزا و با امکانات پردازشي در اختيار خود کار ميکنند. براي مثال دو عمليات طبيعي که در IDSها صورت ميگيرد شامل رمزگشايي116 بستهها، پيش پردازش و تطابق چند الگويي است. فرض کنيد حسگر اول بستههاي قطعهاي را سرهم بندي کرده و آنها را بر اساس پروتکل لايه انتقال و شبکه دسته بندي ميکند. حسگر دوم عمليات پيش پردازش و بازسازي جريانهاي لايه انتقال را انجام ميدهد و حسگر بعدي اعمال قوانين و کشف الگوهاي حمله را بر عهده دارد. اعمال هشدارها به پايگاه داده و ارتباطات خارجي هم در حسگر چهارم صورت ميگيرد.
2-3-4- انواع روشهاي تشخيص حمله
ابزارهاي تشخيص نفوذ از روشهاي مختلفي براي تشخيص انواع مختلف حملات استفاده ميکنند. اين روشها را ميتوان در سه کلاس مبتني بر امضا، تشخيص ناهنجاري و مبتني بر تحليل حالت پروتکل ارتباطي دسته بندي کرد[3].
2-3-4-1- روشهاي مبتني بر امضا
امضا يا ويژگي عبارت است از الگوي مربوط به يک عمليات مشخص. براي مثال ميتوان به اين موارد اشاره کرد:
* ايميلهايي با عنوان “تصاوير رايگان” که در ضميمه آن يک فايل اجرايي با اسم “freePics.exe” قرار داشته باشد، ميتواند نشانه يک نفوذ شناخته شده باشد.
* وجود يک فرمان اجرايي در بسته که براي افزايش سطح دسترسي به سيستم مورد نظر ممکن است مورد استفاده قرار گيرد. مانند فرمان دسترسي root
روش تشخيص مبتني بر امضا عبارت است از مقايسه الگوي رفتارهاي در جريان در شبکه با نمونههاي مشاهده شده به منظور مشخص کردن امکان بروز حملات. اين روش تشخيص حملات در برابر طيف حملات شايع و شناخته شده بسيار موثر و نتيجه بخش است. لکن با توجه به انواع مختلف حملات و الگوهاي رفتاري متنوعي که ميتواند توسط مهاجمين به کار گرفته شود، بازدهي اين روش محدود ميشود. به عنوان نمونه در مثال ايميلهايي که ضميمه فايل اجرايي داشتند، چنانچه نام فايل اجرايي ضميمه به “FREEPics.exe” تغيير يابد، اين روش قادر به تشخيص اين نوع نفوذ نخواهد بود.
روش تشخيص مبتني بر امضا ساده ترين روش تشخيص حملات به شبکههاي کامپيوتري ميباشد، زيرا در اين روش فقط فعاليت در جريان فعلي مورد بررسي قرار ميگيرد. مانند فرآيند آخرين بسته دريافتي يا گزارش آخرين فعاليت صورت گرفته. در اين عمليات با استفاده از روشهاي مقايسه رشتههاي حرفي، مقايسهاي با ليستي از الگوهاي موجود صورت ميگيرد. اين روش کارآيي اندکي در مقابل ارتباطات پيچيده تري که طي چند مرحله صورت ميگيرند و در هر مرحله در وضعيت خاصي به سرمي برند، دارد. اين روشها قادر نيستند درخواست ارسال شده را با پاسخ مربوط به آن کنار هم قرار دهند. براي مثال قادر نيستند در يک ارتباط وب درخواست HTTP ارسالي را با پاسخ مربوط به آن با هم در نظر بگيرند. اين روشها همچنين قادر نيستند درخواستهاي قبلي يک کاربر را با درخواستهاي فعلي او
با هم در نظر بگيرند. حفظ نکردن وضعيت، محدوديتهاي جدي به همراه دارد. اين روشها در مقابل حملاتي که از چند مرحله تشکيل شدهاند و مبتني بر يک سري رخداد پياپي هستند ناکامند، مگر اينکه هر کدام از مراحل شامل نشانه و يا الگوي مشخصي، دال بر بروز حمله داشته باشند.
2-3-4-2- روشهاي تشخيص حمله مبتني بر ناهنجاري
روشهاي مبتني بر تشخيص ناهنجاري عبارت است از مقايسه شرايط عادي سيستم با شرايط مشاهده شده، به منظور تشخيص تفاوتهاي جدي که معمولا در صورت بروز حملات رخ ميدهد. سيستمهايي که بر اساس اين روشها عمل ميکنند، داراي سابقههاي مستندي هستند که نمود وضعيت اجزاي مختلف سيستم در وضعيت عادي است. وضعيت ارتباطات، تعداد مشترکين، وضعيت رفتاري و درخواستهاي معمول مشترکين و نيز مناسبات نرمافزاري و سختافزاري در جريان از آن جملهاند. اين سابقهها با بررسي و ثبت عملکرد کاربران و وضعيت سيستم در يک دوره زماني مشخص به دست ميآيند. براي مثال اين مستندات ممکن است نشان دهند که استفاده از وب در حدود 40 درصد فعاليت کاربران شبکه و نيز پهناي باند در دسترس را نشان ميدهد. ابزار تشخيص نفوذ بر اساس روشهاي ايستايي ويژگيهاي وضعيت فعلي را اندازه گيري ميکند و با حدود آستانهاي که در سابقه سيستم ثبت شدهاست مقايسه ميکند. براي مثال ممکن است نسبت ترافيک وب از حد بالاي آستانه بيشتر شود. همچنين پارامترهاي ديگري ميتوانند مورد بررسي قرار بگيرند. از آن جمله ميتوان تعداد ايميلهاي ارسالي و يا دريافتي، تعداد دفعات تلاش براي وارد کردن رمز و ورود به سيستم و يا درصد به کارگيري پردازنده در يک دوره زماني اشاره کرد.
به عنوان يک نمونه ديگر از به کار گيري اين روشها ميتوان به تشخيص حملات سرريز اشاره کرد. در حالت عادي بعد با توجه به مراحل دست دهي سه گانه TCP، به طور معمول بايد تعداد بستههاي درخواست ايجاد ارتباط با پرچم SYN با بستههاي پاسخ ارتباط TCP که داراي پرچمهاي SYN و Ack هستند، برابر باشند. در صورتي که تعداد بستههاي نوع نخست افزايش فزآيندهاي نسبت به نوع دوم داشته باشد، اين نشانه ميتواند دليلي بر بروز حملات DoS باشد.
مزيت عمده روشهاي مبتني بر تشخيص ناهنجاري اين است که ميتواند با صرف کمترين هزينه، انواع مختلف و ناشناختهاي از حملات را که الگوي آنها قبلا مشاهده نشده را تشخيص دهد. براي مثال حملاتي که در آنها پردازنده سرور مشغول ميشود، يا آنکه تعداد زيادي ايميل فرستاده ميشود، يا تعداد زيادي ارتباط بي مورد براي مشغول نگه داشتن سرور به سمت آن ايجاد ميشود، با اين روش قابل تشخيصاند.
سابقه سيستم مورد استفاده در اين سيستمها در يک فاز آموزش، که ممکن است روزها و يا هفتهها ادامه داشته باشد، ثبت و بررسي ميشود. اين پروندهها ميتوانند به صورت ثابت باشند، يا در طول زمان به صورت تطبيقي تغيير داده شوند. در روش اول اطلاعات ثابت باقي ميمانند مگر آنکه به طور صريح از طرف مدير سيستم، فاز آموزش از سرگيري شود. به اين دليل که رفتارها و پارامترهاي وضعيتي سيستمها داراي توزيعي نرمال هستند و در طول زمان تغيير ميکنند. در روش پروفايلهاي تطبيقي مشکل کمتري به مرور زمان پيش ميآيد. لکن اين امکان وجود دارد که حمله کننده با صرف زمان، به مرور و مرحله به مرحله تغييرات مورد نظر راايجاد کند و با گذشت زمان اين رفتار براي سيستم تشخيص نفوذ تغيير رفتار عادي جلوه کند. از ديگر مشکلات سيستمهاي

دیدگاهتان را بنویسید