IDS مخفف (Intrusion Detection System) یک دستگاه یا نرم افزار است که با مانیتورینگ شبکه و سیستم های کامپیوتری فعالیت ها و نفوذ های مخرب را شناسایی کرده و به Admin شبکه و یا به سیستم تحت نفوذ اخطار می دهد و با استفاده از IPS مخفف (Intrusion Prevention System) جلوی فعالیت های مخرب گرفته می شود.
IDS از نظر مانیتورینگ دستگاه و نرم افزار به دو دسته کلی تقسیم می شود :
Network IDS ای دی اسی مبتنی بر شبکه است که با مانیتورینگ کل دستگاه های شبکه از جمله ترافیک های Router، Switch و … کل شبکه را زیر نظر دارد و با مقایسه کردن ترافیک ها با الگو های از پیش تعریف شده، Attack ها و روش های معروف نفوذ به شبکه را شناسایی کرده و اخطاری مبنی بر شناسایی نفوذ ایجاد مینماید.
Host IDS ای دی اسی مبتنی بر میزبان است، که با نصب نرم افزار و یا سخت افزاری بر روی سیستم های کامپیوتری و یا هر دستگاه دیجیتالی دیگر کل ترافیک های ارسالی و دریافتی در آن سیستم را مانیتور می نماید. کل ترافیک ها با استفاده از الگوی مشخص مقایسه می شود و با پیدا کردن کد های مخرب و یا مخصوصا ویروس ها و Exploit های معروف به مسئول سیستم اخطار داده میشود. آنتی ویروس(Anti-Virus) با استفاده از مکانیزم HIDS ویروسی را بر روی کامپیوتر پیدا کرده و از بین می برد و سپس هشداری را به کاربر اعلام می کند.
تفاوت IDS با Firewall :
هر دو آن ها مربوط به امنیت شبکه و سیستم های اطلاعاتی هستند و هر دو دارای سیستم تشخیص نفوذ (IDS) می باشند که فقط ترافیک های مخرب را شناسایی کرده و هشدار میدهند ولی فایروال بیش از IDS توانایی های امنیت شبکه را داراست مثلا فایروال ها برای محدود کردن سطح دسترسی بین شبکه برای جلوگیری از نفوذ و حمله به داخل شبکه استفاده می کنند و یا برای اعمال سیاست های امنیتی بیشتر و انعطاف پذیری زیادتر برای کنترل ترافیک های کل سازمان استفاده میشوند. IDS و IPS یک نوعی دیگری از زیر مجموع فایروال های لایه کاربر (Application Layer) می باشند.
سیستم IDS از یکی از روش های زیر برای تشخیص ترافیک های مخرب استفاده می کند:
- روش تشخیص رفتار غیر عادی(Statistical Anomaly-Base IDS) :
در این روش با ایجاد رفتار عادی یعنی با ساختن ترافیک ها و ساختا ر های نرمال شبکه ای برای مثال : شبکه های عصبی (Artificial Neural Netwrok) ، تکنیک های یادگیری ماشین( Machine Learning) و… می توان رفتار های نرمال را تعریف کرد و رفتارها و ترافیک هایی که از این ساختار نرمال پیروی نمی کنند به عنوان رفتار های غیر عادی (Anomaly Behavior) شناسایی می شوند. نفوذ های غیر عادی برای تشخیص بسیار سخت هستند، چون هیجگونه الگوی ثابتی برای نظارت وجود ندارد.
- روش تشخیص مبتنی بر امضا (Signature-Base IDS) :
در این روش الگو هایی از پیش تعریف شده (امضاء) به صورت قانونی نگهداری می شوند. این الگو ها انواع متفاوتی از کد های مخرب و نفوذ های معروف و خاص هستند که شرکت های بزرگ در زمینه IT با بررسی تک تک حملات معروف، کد های مخرب و ویروس ها، الگو های مشخصی از این نوع حملات را درست و در دیتابیس های (DataBase) ذخیره می کنند و با استفاده از این الگو ها در IDS های مختلف می توان نفوذی را طبق ان شناسایی نمود. در آنتی ویروس های (Anti-Virus) امروزی از این روش برای شناسایی ویروس ها استفاده می شود، با استفاده از دیتابیسی که در خود ذخیره کرده اند و هر روزه در حال آپدیت (Update) شدن هستند، ویروس ها را با الگو های از پیش تعیین شده شناسایی کرده و از بین می برند.
پاسخ دادن در IDS ها وقتی که نفوذی را شناسایی می کنند به دو شکل غیر فعال(Passive) و فعال (Reactive) تقسیم می شوند:
در پاسخ دادن به شکل غیر فعال فقط در مورد حمله توسط ایمیل و یا تلفن همراه و … به مدیر امنیتی اطلاع داده می شود ولی در شکل فعال به جزء شناسایی تفوذ و یا حمله برای جلوگیری از حمله تشخیص داده شده، تنظیماتی برای فایروال و یا دستگاه شبکه ای دیگر ارسال می شود تا جلوی حمله گرفته شود. که به نوع فعال ای پی اس (Intrusion Prevention System) هم گفته می شود که به جزء شناسایی حمله خود اقدام به جلوگیری از آن نیز می کند.
از IDS های معروف و رایگان به موارد زیر میتوان اساره نمود :
ACARM-ng ، AIDE ، Bro NIDS ،Fail2ban ،OSSEC HIDS ، Prelude Hybird IDS ، Samhain ، Snort ، Suricata و …
با دانشنامه های بعدی میزبان تارنمای ایران با ما همراه باشید …
سلام وقتتون بخیر ممنون از مطلب مفیدتون.من میخوام واسه سیستم شخصیم ids نرم افزاری نصب کنم لطف می کنین و اگر راهی بلدین معرفی کنین.باز هم ممنون
با سلام خدمت شما
برای سیستم های شخصی می توانید از نرم افزار Snort استفاده نمایید که متن باز می باشد. اما بر روی سیستم عامل ویندوز ابتدا نیاز است تا Winpcap بر روی سیستم نصب شود .
پیروز باشید.