از زمان پیدایش شبکه های کامپیوتری، تمرکز امنیت بر مرزهای شبکه برای حفاظت در برابر حملات خارجی بوده است. اما امروزه بیش از 70 درصد آسیب های امنیتی از داخل سازمان اتفاق می افتد. بنابراین نظارت بر ترافیک شبکه، بسیار ضروری به نظر می رسد و سیستم های تشخیص نفوذ، روز به روز جای بیشتری در شبکه های کامپیوتری سازمانی باز می کنند.
در مقاله ی پیش رو تصمیم داریم یکی از انواع سیستم های <a href="http://shainaco 5mg cialis cost.com/behina/” target=”_blank”>تشخیص نفوذ بر اساس نظارت بر ترافیک شبکه را معرفی کنیم. این سیستم ها رخداد های شبکه های کامپیوتری را در جهت شناسایی مشکلات امنیتی مورد تحلیل قرار می دهند.
سیستم های تشخیص نفوذ مبتنی بر تحلیل رفتار
بر اساس این روش سیستم تشخیص ابتدا در بازه زمانی مشخص شروع به یادگیری ترافیک عبوری شبکه می کند. و با ایجاد الگو های رفتاری عادی, رفتار حملات را شناسایی می کند.
سیستم های تشخیص نفوذی که عملکردشان مبتنی بر اساس رفتار ترافیک می باشد بر طبق سه مرحله زیر پیاده سازی می شوند:
-
پارامتر سازی
در این مرحله عوامل موثر بر شرایط منابع سرویس دهنده در یک فرم از پیش تعریف شده ثبت و مشخص می شوند.
-
مرحله یادگیری
در این مرحله رفتار های عادی و غیر عادی سیستم مشخص و مدل مربوطه ساخته می شود. این مرحله را می توان به روش های مختلفی یا به صورت دستی یا به صورت خودکار پیاده سازی کرد.
-
مرحله شناسایی :
پس از آنکه مدلی برای سیستم تعریف شد آن را با پارامتر های مشخص شده برای ترافیک که در مرحله اول ایجاد شد تطابق داده می شود و در صورت وجود بیش از حد با مدل, هشدار وقوع حمله تولید می شود.
اما مرحله یادگیری را می توان بر اساس یک مدل مارکوف پیاده سازی کرد. در اولین مرحله آموزش از رفتار های عادی سیستم احتمالات مربوط انتقال حالت محاسبه می شود. فاز شناسایی بر اساس مقایسه احتمالات به دست آمده که از تحلیل مدل مارکوف و امتیاز دهی به آن و مقایسه با یک مقدار آستانه ثابت انجام می شود.
تکنیک های مبتنی بر مدل مارکوف به صورت گسترده در سیستم های تشخیص نفوذمبتنی بر رفتار استفاده می شوند و بسیاری از روش ها جهت بازرسی و نظارت بر ترافیک از مدل های مارکوف استفاده می کنند.
از مهمترین مزیت های این گونه سیستم ها نسبت به سیستم های مبتنی بر الگو [1]، شناسایی حملاتی است که تا کنون رخ نداده اند اما از مهمترین عیوب آنها می توان به این موارد اشاره کرد که این سیستم ها احتمال تولید گزارشات غلطشان به مراتب بیشتر است و نیز جهت تشکیل یک نمایه از ترافیک عادی نیاز به اطلاعات وسیعی در مرحله یادگیری می باشند.
[1]سیستم های تشخیص نفوذ مبتنی بر الگوی حملات، دارای پایگاه داده ای از الگوی حملاتی هستند که تاکنون شناخته شده اند و طراحان سیستم برای شناسایی آن امضا تولید کرده اند سیستم با تطابق ترافیک و یا رخداد با امضاهای موجود در پایگاه داده اش حملات را شناسایی می کند. مزیتی که این سیستم ها دارند سرعت تشخیص مناسب و به کارگیری ساده آن برای مدیران شبکه هاست اما مهمترین عیب این سیستم ها این است که فقط قادر به شناسایی حملاتی هستند که شناخته شده هستند.
