IDS  یا سیستم تشخیص نفوذ چیست؟ مفهوم Intrusion Detection در امنیت چیست؟ چند نوع IDS داریم و نحوه کار هر کدام چگونه است؟  چند نوع روش تشخیص نفوذ وجود دارد؟ مهاجمان یا هكرها هميشه به دنبال حمله كردن به شبكه ها هستند . بهينه سازي و ايمن سازي تنظيمات سيستم از دسترسي آسان هكرها به شبكه ها تا حد زيادي جلوگيري مي كند . سيستم هاي تشخصي نفوذ ( IDS: Intrusion Detection Systems) ، فايروال ها ( Firewalls) و هاني پات يا ظرف عسل ( Honey pot) از فناوري هايي هستند كه مي توانند از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند .

يك IDS يا سيستم تشخيص نفوذ ، كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تعيين مي كند كه فعاليت انجام شده مجاز است يا غير عادي و غير مجاز است و همچنين تعيين مي كند كه آيا اين فعاليت مي تواند آسيبي به شبكه شما وارد كند يا خير و در نهايت به شما در مورد اينگونه فعاليت ها اطلاع رساني مي كند . اين اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود . يك IDS در حقيقت يك نوع Packet-Sniffer محسوب مي شود بطوري كه كليه Packet هاي ارسالي و دريافتي در شبكه را دريافت كرده و آنهارا تجزيه و تحليل مي كند ، اين سيستم توانايي فعاليت با انواع پرتكل هاي ارتباطي در شبكه را داراست بويژه توانايي فعاليت با پروتكل Tcp/IP .

IDS چیست؟ معرفی سیستم تشخیص نفوذ و انواع آن به زبان بسیار ساده

روش هاي تشخيص نفوذ

بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند :

    .شناسايي امضاء يا ( Signature) : در اين روش كه همانند كاري است كه يك آنتي ويروس انجام مي دهد ، IDS داراي يك پايگاه داده است كه در آن نوع و روش فعاليت برخي از حملات مشخص شده اند ، به محض اينكه IDS ترافيكي را تشخصي دهد آنرا با اطلاعات پايگاه داده مربوطه مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند. در دوره آموزش لینوکس به مقدمات سیستم های تشخیص نفوذ می پردازیم.

    تشخيص رفتار غير عادي ( Anomaly ) : در اين نوع از انواع IDS سيستم با توجه به رفتاري كه در شبكه عادي وجود دارد و ترافيكي كه در اثر يك عمل غير عادي ايجاد شده است و با توجه به بررسي هاي خود و مقايسه ترافيك طبيعي و غيرعادي تصميم مي گيرد كه در مورد اين نوع ترافيك هشدار دهد.

    تشخيص پرتكل غيرعادي ( Anomaly Protocol) : در اين نوع تشخصي مدل ها بر اساس مشخصات پرتكل TCP/IP تجزيه و تحليل مي شوند و در صورت مشخص شدن تغييرات در مشخصات اين پروتكل سيستم هشدار فعال مي شود .

انواع سيستم هاي تشخيص نفوذ

    سيستم هاي تشخيص نفوذ تحت شبكه ( Network Based IDS) : اينگونه از سيستم ها مانند يك جعبه سياه هستند كه در شبكه قرار گرفته و كارت شبكه آنها در حالت بي قيد ( Promiscuous) قرار مي گيرد و كليه ترافيك شبكه را دريافت و تجزيه و تحليل مي كند . مانند نرم افزار SNORT در سيستم عامل لينوكس.

    سيستم هاي تشخيص نفوذ ميزبان ( Host Based IDS): اينگونه از سيستم ها با استفاده از مميزي ( audit) كردن فايل هاي Log مربوط به يك رخداد بر روي هر سيستم فعاليت مي كنند و اين رويداد ها را تجزيه و تحليل مي كنند . از اينگونه از سيستم ها به دليل ايجاد بار كاري زياد براي هر سيستم ( CPU) معمولا كمتر استفاده مي شود . نرم افزار اينگونه سيستم تشخصي نفوذ بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود و بصورت مجزا فعاليت مي كنند . مانند نرم افزار CSA: Cisco Security Agent.

    پايش فايل هاي Log File Monitoring : در اين نوع سيستم از كليه رخداد هاي ( Event) هاي روي سيستم هاي شبكه Log ‌برداري مي شود و همه اين Log ها به يك سرور بر روي شبكه منتقل شده و از طريق آن مورد تجزيه و تحليل قرار مي گيرند.

    چك كردن صحت و كامل بودن فايل ( File Integrity Checker) : اينگونه سيستم ها معمولا براي تشخيص انواع تروجان و نرم افزارهايي بكار مي رود كه باعث ايجاد تغييرات بر روي سيستم مي شوند ، در اين روش از هر فايل بر روي سيستم يك هش ( Hash) گرفته مي شود و در داخل يك ژايگاه داده مركزي نگهداري مي شود و در صورت بروز مشكل اين Hash با Hash فايل جديد مقايسه مي شود و در صورت عدم تطابق اعلام اخطار مي شود . ماننده نرم افزار Tripwire كه از نوع SIV: System Integrity Verifier مي باشد.

در دوره آموزش نتورک پلاس و در قسمت پانزدهم در خصوص مفاهیم سیستم های تشخیص نفوذ بصورت کلی صحبت شده است اما برای یادگیری کامل مفاهیم تشخیص نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس رو حتما توصیه می کنم.