IDS

آشنایی با IDS و انواع سیستم های جلوگیری از نفوذ

فهرست مطالب

Intrusion Detection System از جمله ابزار امنیتی است که ترافیک شبکه و دستگاه‌ها را برای فعالیت‌های مخرب شناسایی و به نظارت آن‌ها می‌پردازد. استفاده از این سیستم به شما در حفظ امنیت شبکه و محافظت از داده‌ها در برابر حملات سایبری کمک می‌کند. اگر بخواهیم خیلی کوتاه درباره نحوه عملکرد این سیستم توضیح دهیم می‌توان گفت که IDS با بررسی ترافیک شبکه و ارسال هشدار در صورت دیدن فعالیت‌های غیرعادی باعث می‌شود سیستم شما ایمن بماند و دل نگرانی‌هایتان درباره از دست دادن داده‌ها و سلامت سیستمتان به حداقل خود برسد.

انواع سیستم‌های جلوگیری از نفوذ

اینکهIDS ها در چه جایگاهی در سیستم قرار بگیرند و چه فعالیتی انجام دهند زمینه‌ساز دسته بندی آن‌ها به حساب می‌آید. اگر بخواهیم انواع آن‌ها را توضیح دهیم می‌توان گفت:

  • سیستم‌های تشخیص نفوذ شبکه (NIDS)

Network Intrusion Detection Systemsها به بررسی و کنترل ترافیک‌های ورودی و خروجی به دستگاه‌ها می‌پردازند. جایگاه قرارگیری NIDS معمولا پشت فایروال‌هاست تا بتوانند ترافیک‌های مخرب را شناسایی نمایند. علاوه بر آن ممکن است در داخل شبکه نیز وجود داشته باشند تا تهدیدات داخلی یا هکرهایی که به حساب‌های کاربری دست پیدا کرده‌اند را شناسایی کنند.

  • سیستم‌های تشخیص نفوذ میزبان (HIDS)

جایگاه آن روی سرور، روتر و یا لپ تاپ شماست. HIDS فعالیت‌های دستگاه از جمله ترافیک‌ها را نظارت می‌کند. این سیستم عکس‌های دوره‌ای از فایل‌های سیستم عامل گرفته و آن‌ها با شرایط استاندارد مقایسه می‌کند. در صورتی که تغییری حس شود هشدارهای لازم به تیم امنیتی داد خواهد شد.

  • IDS مبتنی بر پروتکل  (PIDS)

به نظارت بر پروتکل‌های اتصال میان سرورها و دستگاه‌ها می‌پردازد. این سیستم معمولا روی وب سرورها و برای نظارت بر اتصالات HTTP یا HTTPS قرار می‌گیرد.

  • IDS مبتنی بر پروتکل برنامه (APIDS)

در لایه برنامه بوده و بر پروتکل‌های خاص برنامه نظارت می‌کند. از این سیستم برای تشخیص SQL Injection استفاده می‌شود

ویژگی‌های مثبت IDS

حال اصلا چرا IDS؟ چه ویژگی‌هایی این سیستم را برای شما ممتاز می‌سازد؟

  • شناسایی فعالیت‌های مخرب: با استفاده از IDS می‌توانید فعالیت‌های مخرب را شناسایی کنید و پیش از بروز آسیب جدی به مدیر سیستم اطلاع دهید.
  • بهبود عملکرد شبکه: با استفاده از IDS مشکلاتی که در عملکرد شبکه رخ می‌دهد شناسایی می‌شود و شما می‌توانید با رفع آن‌ها عملکرد شبکه را بهبود بخشید.
  • ارائه بینش: به این صورت که IDS با ارائه بینش‌های ارزشمند درباره ترافیک شبکه به شما در شناسایی نقاط ضعف و بهبود امنیت شبکه کمک می‌کند.
حفاظت از وب سایت شما به بهترین شکل!

در صورتی که به دنبال محافظت از وب سایت خود در برابر حملات سایبری هستید. میزبانی وب پویان آی تی با امنیت بالا در کنار شماست.

می‌خواهید بیشتر بدانید؟ با ما در ارتباط باشید!

محافظت

نحوه عملکرد IDS

اگر بخواهیم به صورت گام به گام درباره نحوه عملکرد این سیستم صحبت کنیم به این صورت است که:

  1. در ابتدا سیستم تشخیص نفوذ، ترافیک شبکه را برای شناسایی فعالیت‌ها نظارت می‌کند.
  2. پس از آن داده‌ها را تجزیه و تحلیل و بررسی می‌کند تا ببیند آیا اثری از نشانه‌های غیرعادی هست یا نه.
  3. در گام بعدی فعالیت‌های شبکه را با آن مجموعه قوانین و الگوها تطبق می‌دهد تا موارد مشکوک را شناسایی کند.
  4. این موارد را در قالب هشدار برای مدیر سیستم ارسال می‌کند تا توسط مدیریت بررسی و اقدامات لازم جهت جلوگیری از این آسیب‌ها به عمل آید.

ادغام IDS و دیگر راه‌حل‌های امنیتی

اگر بخواهم واضح بگویم IDSها ابزار مستقلی نیستند و برای اینکه بتوانند بخشی از یک سیستم امنیتی باشند باید با راهکارهای امنیتی مختلفی ادغام شوند. مثلا:

  1. IDS و SIEM: این ادغام باعث می‌شود تا تیم‌های امنیتی بتوانند حوادث را اولویت‌بندی و هشدارهای کاذب را فیلتربندی کنند.
  2. IDS و IPS: کاری که IPS انجام می‌دهد این است که ترافیک شبکه را رصد می‌کند و با قطع خودکار اتصالات و یا فعال سازی ابزارهای امنیتی تهدیدات را خنثی می‌سازد. در اکثر مواقع IDS و IPS در سیستم‌های تشخیص نفوذ و پیشگیری ترکیب و به تیم‌های امنیتی هشدار می‌دهد.
  3. IDS و فایروال‌ها: یک جورهایی مکمل یکدیگر هستند و در بررسی و یا مجاز و غیرمجاز نشان دادن ترافیک‌ها برای پیشگیری از بروز خوادث امنیتی با یکدیگر کار می‌کنند.

فرار از IDS

همانطور که تا الان خواندیم IDS قادر است تا تهدیدات زیادی را شناسایی کند؛ ولی خب یک جاهایی ممکن است کار از دستش در برود! اگر بخواهیم یک سری از این موارد را توضیح دهیم می‌توان گفت:

فرار از IDS
  1. جعل آی پی آدرس‌ها و سوابق DNS که باعث می‌شود حس کنیم ترافیک آن‌ها از منبعی قابل اعتماد است.
  2. Fragmentation یا تکه تکه شدن که به معنای تقسیم بدافزار و یا آن محموله مخرب به بسته‌های کوچک است که خطر شناسایی را کاهش می‌دهد.
  3. استفاده از پروتکل‌های رمزگذاری شده برای دور زدن IDS.
  4. ایجاد هشدارهای IDS زیاد برای منحرف کردن ذهن و تمرکز تیم امنیتی.

روش‌های تشخیص IDS

دو روش اصلی برای تشحیص IDS وجود دارد:

  1. روش مبتنی بر امضا: به این صورت که حملات را بر اساس الگوهای خاص شناسایی می‌کند. این الگوها در IDS به عنوان امضا شناخته می‌شوند. (این نکته حائز اهمیت است که IDSهای مبتنی بر امضا به راحتی می‌توانند الگوهایی که از قبل در سیستم وجود داشت را شناساییی کنند؛ ولی در تشخیص حملات بدافزارهای جدید (چون الگویی از آن‌ها وجود ندارد) ضعیف عمل می‌کنند.)
  2. روش مبتنی بر ناهنجاری: این روش برای شناسایی حملات ناشناخته مورد استفاده قرار می‌گیرد. در این روش از ماشین لرنینگ برای ایجاد یک مدل فعالیت قابل اعتماد استفاده و بقیه چیزها را با آن می‌سنجند. در صورتی که فعالیت‌های انجام شده در این مدل پیدا نشود آن فعالیت مشکوک تعریف می‌شود.

IDS و فایروال چه تفاوتی باهم دارند؟

با وجود اینکه هردو آن‌ها به امنیت شبکه مربوط می‌شوند؛ ولی تفاوت‌هایی نیز دارند. مثلا فایروال به دنبال نفوذ خارجی است و از وقوع آن‌ها جلوگیری می‌کند. در فایروال‌ها دسترسی بین شبکه‌ای برای جلوگیری از نفوذ محدود و اگر حمله داخلی باشد سیگنال نمی‌دهد. در مقابل IDS نفوذ را پس از وقوع توصیف و بعد هشدار می‌دهد.

چالش‌های IDS

در کنار ویژگی‌های مثبت یک سری چالش‌ها نیز در IDS وجود دارد. مثلا:

  1. هشدارهای کاذب: یعنی ممکن است درباره فعالیت‌های بی ضرر هشدار داده و نگرانی‌هایی را ایجاد کند.
  2. Resource Intensive: استفاده از منابع زیاد می‌تواند عملکرد شبکه را کندتر سازد.
  3. عدم جلوگیری از حملات: IDS تنها حملات را شناسایی و هشدار می‌دهد، ولی در زمینه متوقف کردن آن کاری نمی‌کند.
  4. نیاز به تخصص: ممکن است مسیر راه اندازی و مدیریت IDS پیچیده و به دانش تخصص نیاز داشته باشد.

جمع بندی

IDSها از جمله فناوری‌های امنیتی شبکه هستند که از آن‌ها برای شناسایی آسیب پذیری‌ها استفاده می‌شود. این سیستم‌ها ترافیک را کنترل کرده و نتیجه نهایی را به مدیر ابلاغ می‌کنند. این نکته را فراموش نکنید که IDS نمی‌تواند اقدامی برای جلوگیری از نفوذ موارد شناسایی شده انجام دهد. پس شما بایستی از آن در کنار ابزار جلوگیری از نفوذ استفاده نمایید.

سوالات متداول

  • تفاوت IDS و IPS چیست؟

IDS نفوذ را تشخیص و فقط هشدارهای لازم را می‌دهد؛ ولی IPS بسته‌های مخرب را پیش از رسیدن به مقصد مسدود می‌کند.

  • آیا IDS می‌تواند تهدیدات داخلی را شناسایی کند؟

بله این سیستم تشخیص نفوذ می‌تواند تهدیدات را شناسایی کند.

  • چرا سیستم‌های تشخیص نفوذ (IDS) مهم هستند؟

استفاده از سیستم‌های تشخیص نفوذ باعث می‌شود امنیت سیستم شما را افزایش یابد. این سیستم با دیگر ابزارهای امنیتی ترکیب می‌شود تا تهدیدات را شناسایی کند.

منابع

  • https://www.geeksforgeeks.org/intrusion-detection-system-ids/
  • https://www.ibm.com/think/topics/intrusion-detection-system

به این مقاله امتیاز دهید!

میانگین امتیاز 0 / 5. تعداد رأی ها : 0

هنوز هیچ رأیی داده نشده. اولین نفر باشید!

اشتراک گذاری اشتراک گذاری در تلگرام اشتراک گذاری در لینکدین اشتراک گذاری در ایکس کپی کردن لینک پست

و در ادامه بخوانید

اولین دیدگاه را اضافه کنید.

برچسب ها

امنیت