مقدمه

تشخیص نفوذ (IDS) یک فرآیند جهت بررسی کردن (Monitoring) اتفاقات رخ داده در یک سیستم کامپیوتری و یا یک شبکه و بررسی آنها و نشان گذاری به عنوان یک نقص، تهدید غیر مترقبه و یا یک نقص در سیاست گذاری امنیتی سیستم ها، اشتباه در درک مفاهیم امنیتی و … می باشد. در IDS تلاش می شود تا تهدیدات ممکن کشف شوند. اطلاعات این تهدیدات کشف شده در مکانی ذخیره می شوند و گزارشی از آنها به مسئول امنیت سیستم داده می شود. به عبارتی دیگر می توان گفت سازمان ها جهت کشف مشکلات در سیاست های امنیتی خود، برای مستندسازی تهدیدات موجود از IDS استفاده می کنند. امروزه IDS به عنوان یکی از سیاست های سازمان ها جهت مقابله با تهدیدات به حساب می آید تا حدی که برای اجرای آن حاضر به صرف مقدار زیادی منابع مالی و حتی انسانی می باشند تا شبکه و اطلاعات موجود را از دسترس افراد سود جو به دور نگاه دارند.
بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
 سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
 ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
 نرم افزارهای ضدویروس که برای تشخیص انواع کرمها، ویروسها و به طورکلی نرم افزارهای خطرناک تهیه شده اند.
 دیواره آتش (Firewall )
 مکانیزمهای امنیتی مانند SSL ، VPN و Radius و … .
به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند :
 چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
 تمام تهدیدات خارج از دیواره آتش نیستند.
 امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند Active ، Java Applet، Virus Programs.IDS مشخصا اقدام به ذخیره اتفاقات مشاهده شده، آگاه سازی مسئولان امنیتی سازمان از اتفاقات مهم رخ داده از طریق ارسال پیام و آماده سازی گزارش کامل می کند.در این مستند سعی می شود تا اطلاعات جامعی در ارتباط با IDS و نحوه تنظیمات و به کار گیری آن در شبکه داده شود.
به صورت کلی 4 نوع تکنولوژی جهت تشخیص نفوذ وجود دارد که عبارتند از:
 Network-Base: در این حالت اقدام به مانیتور نمودن ترافیک شبکه برای برخی دستگاه ها صورت می گیرد. کار عمده بر روی پروتکل ها Network و Application است. به عبارتی بررسی فعالیت های مشکوک در سطح این 2 پروتکل از وظایف عمده این نوع از IDS می باشد. Wireless: در این تکنولوژی اقدام به مانیتور و تحلیل ترافیک Wireless جهت کشف فعالیت های مشکوک صورت می گیرد. Network Behavior Analysis: در این حالت ترافیک موجود بررسی می شود تا تهدیداتی که براساس ترافیک های غیر معمول هستند شناسایی شوند. مانند حملات DdoS، برخی انواع Malware ها و … Host-Base: در این حالت اقدام به بررسی یک هاست(Client) و اتفاقات موجود در آن می شود.

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فهرست مطالب

چکیده………………………………………………………………… 1
مقدمه…………………………………………………………………. 2

فصل اول تشخیص نفوذ IDS ا.

همان طور که گفته شد از IDS برای اهداف متفاوتی استفاده می شود که همگی در راستای افزایش امنیت اطلاعات سازمان ها و کشف اتفاقاتی که عامل های متفاوتی مانند Malware (مانند Worm ها، Spyware)، حمله کنندگانی که بدون اجازه دسترسی از طریق اینترنت وارد سیستم شده اند و یا کاربرانی که از اختیارات داده شده به آنها سوء استفاده می کنند و یا اقدام به جمع آوری اطلاعاتی می کنند که در حد اختیارات و مسئولیت آنها نیست.
انواع روشهای تشخیص نفوذ
نفوذ به مجموعه ی اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق می گردد. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد.
نفوذگرها عموماً از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.
به منظور مقابله با نفوذگران به سیستم ها و شبکه های کامپیوتری، روش های متعددی تحت عنوان رو شهای تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارد. روش های تشخیص مورد استفاده در سیستم های تشخیص نفوذ به دو دسته تقسیم می شوند:
 روش تشخیص رفتار غیر عادی : در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه ها ی عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی روند، عبارتند از:
 تشخیص سطح آستانه : تعداد ورود و خروج به / از سیستم و یا زمان استفاده از سیستم، از مشخصه های رفتار سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتار غیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست. این سطح کاملاً ایستا و اکتشافی است.

موارد استفاده IDSا………………………………………………………. 7
توابع کلیدی تکنولوژی روشهای رایج شناسایی……………………… 9
1-3-1 signature-Base ا………………………………………………..10
1-3-2 anomaly-base ا………………………………………………….10
1-4 انواع تکنولوژی IDS ا………………………………………………..11

فصل دوم تکنولوژی های IDSا

کامپوننت های شاخص در راه حل های IDS به شرح زیر می باشند:
 Sensor یا Agent : sensor ها و agent ها فعالیت ها را مانیتور و آنالیز می کنند. اصطلاح sensor معمولا برای IDS هایی استفاده می شود که شبکه ها را با استفاده تکنولوژی های Network-Based، Wireless و NBA مانیتور می کنند. اصطلاح agent جهت IDS هایی می-باشد که از تکنولوژی Host-Based استفاده می کنند.
 Management Server : یک سرور مدیریت یک دستگاه مرکزی می باشد که اطلاعات را از sensor ها و agent ها دریافت و مدیریت می کند. برخی سرورهای مدیریت اقدام به آنالیز کردن اطلاعات رسیده از sensor ها و agent ها می کنند که در نهایت به کشف اتفاقات نامعمول می شود که توسط sensor و یا agent قابل کشف نبوده است.
 Database server : یک سرور پایگاه اطلاعات اطلاعات رسیده از sensor، agent و یا Management server را نگهداری می کند.

2-1-2 معماری های شبکه
کامپوننت های IDS می توانند با یک شبکه استاندارد بهم متصل شوند و یا می توانند با یک شبکه که کاملا جدا طراحی شده ارتباط داشته باشند. در این نوع شبکه سیستمی تحت عنوان Management Network وجود دارد که جهت مدیریت امنیت می باشد.
اگر از Management Network استفاده شود، هر sensor و یا agent دارای یک اینترفیس شبکه اضافه¬تر به نام Management Interface خواهد بود که به نرم افزار Management Network متصل می¬شود. اشاره به این موضوع نیز مهم است که هیچ ترافیکی بین Management Interface و سایر اینترفیس های sensor و یا agent جریان نخواهد داشت. Management Server و Database Server فقط به Management Network متصل می شوند. این معماری در واقع باعث می شود که Management Network از Network اصلی مجزا و ایزوله گردد. فایده این روش در پنهان کردن هویت و موجودیت سیستم IDS از دید حمله کنندگان است. فواید دیگری نیز این روش دارد که عبارتند از: جلوگیری از حمله به سیستم IDS، دارا بودن IDS از پهنای باند مناسب جهت انجام پردازش های لازم می باشد.
2-2 توانایی های امنیتی
اکثر تکنولوژی های IDS می توانند توانایی های امنیتی بالایی را فراهم کنند. این توانایی ها به 3 دسته تقسیم می شوند که عبارتند از : جمع آوری اطلاعات، log کردن اطلاعات و کشف. در ادامه این 3 مورد را توصیف خواهیم کرد.

2-1 کامپوننت ها و معماری……………………………………………. 13
2-1-2 معماری های شبکه……………………………………………… 14
2-2 توانایی های امنیتی………………………………………………. 14
2-2-1 قابلیت جمع آوری اطلاعات………………………………………. 15
2-2-2 قابلیت log نمودن ………………………………………………….15
2-2-3 قابلیت کشف…………………………………………………….. 15

فصل سوم Network-Based IDSا.

یک Network-Based ترافیک شبکه را برای یک بخش خاص یا دستگاه ها مانیتور می کند و 3 پروتکل network، transport و application را برای کشف فعالیت های مخرب آنالیز می کند. در ابتدا کمی درباره TCP/IP صحبت می کنیم، سپس کامپوننت های مورد استفاده در این تکنولوژی و نحوه استفاده از آنها را شرح خواهیم داد. در ادامه قابلیت های امنیتی این تکنولوژی شامل روشهای مورد استفاده جهت شناسایی فعالیت های مخرب را به صورت عمیق توصیف خواهیم کرد.
3-1 خلاصه ای از Network
TCP/IP ، یکی از مهمترین پروتکل های استفاده شده در شبکه های کامپیوتری است . اینترنت بعنوان بزرگترین شبکه موجود ، از پروتکل فوق بمنظور ارتباط دستگاه های متفاوت استفاده می نماید. پروتکل ، مجموعه قوانین لازم بمنظور قانونمند نمودن نحوه ارتباطات در شبکه های کامپیوتری است.
امروزه اکثر شبکه های کامپیوتری بزرگ و اغلب سیستم های عامل موجود از پروتکل TCP/IP ، استفاده و حمایت می نمایند. TCP/IP ، امکانات لازم بمنظور ارتباط سیستم های غیرمشابه را فراهم می آورد. از ویژگی های مهم پروتکل فوق ، می توان به مواردی همچون : قابلیت اجراء بر روی محیط های متفاوت ، ضریب اطمینان بالا ،قابلیت گسترش و توسعه آن ، اشاره کرد . از پروتکل فوق، بمنظور دستیابی به اینترنت و استفاده از سرویس های متنوع آن نظیر وب و یا پست الکترونیکی استفاده می گردد. تنوع پروتکل های موجود در پشته TCP/IP و ارتباط منطقی و سیستماتیک آنها با یکدیگر، امکان تحقق ارتباط در شبکه های کامپیوتری را با اهداف متفاوت ، فراهم می نماید. فرآیند برقراری یک ارتباط ، شامل فعالیت های متعددی نظیر : تبدیل نام کامپیوتر به آدرس IP معادل ، مشخص نمودن موقعیت کامپیوتر مقصد ، بسته بندی اطلاعات ، آدرس دهی و روتینگ داده ها بمنظور ارسال موفقیت آمیز به مقصد مورد نظر ، بوده که توسط مجموعه پروتکل های موجود در پشته TCP/IP انجام می گیرد.

3-1 خلاصه ای از Networkا……………………………………………….. 17
3-1 معرفی پروتکل TCP/IPا……………………………………………….. 18
3-1-1 لایه های پروتکل TCP/IP ا…………………………………………..18
لایه Applicationا……………………………………………………………. 19
لایه Transportا……………………………………………………………… 19
لایه اینترنت………………………………………………………………….. 20
لایه Network Interface ا…………………………………………………..20
3-2 کامپوننت ها و معماری……………………………………………….. 21
3-2-1 کامپوننت های شاخص……………………………………………….. 21
3-2-2 معماری شبکه و محل قرار گیری sensor ا…………………………..22
3-3 قابلیت های امنیتی…………………………………………………….. 23
3-3-1 قابلیت جمع آوری اطلاعات……………………………………………. 23
3-3-2 قابلیت log برداری……………………………………………………… 24
3-3-3 قابلیت کشف…………………………………………………………… 25
3-3-3-1 انواع اتفاقات کشف شده………………………………………….. 25
3-3-3-2 دقت کشف…………………………………………………………… 26
3-3-3-3 محدودیت ها……………………………………………………….. 26

فصل چهارم Wireless IDS ا.

این تکنولوژی ترافیک شبکه های بیسیم را مانیتور و پروتکل های مربوط به این نوع شبکه ها را آنالیز می کند و در صورت مشاهده حمله و یا تهدید آن را گزارش می نماید.
4-1 شبکه وایرلس( wireless ) چیست ؟
از آن‌جا که شبکه‌های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه‌ها، که بر اساس سیگنال‌های رادیویی‌اند، مهم‌ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن‌ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه‌ها، با وجود امکانات نهفته در آن‌ها که به‌مدد پیکربندی صحیح می‌توان به‌سطح قابل قبولی از بعد امنیتی دست یافت، بنا داریم در این سری از مقالات با عنوان «امنیت در شبکه های بی سیم» ضمن معرفی این شبکه‌ها با تأکید بر ابعاد امنیتی آن‌ها، به روش‌های پیکربندی صحیح که احتمال رخ‌داد حملات را کاهش می‌دهند بپردازیم
استاندارد شبکه های محلی بی سیم
در ماه ژوئن سال 1997 انجمن مهندسان برق و الکترونیک (IEEE) استاندارد IEEE 802.11-1997 را به عنوان اولین استانداردِ شبکه‌های محلی بی‌سیم منتشر ساخت. این استاندارد در سال 1999 مجدداً بازنگری شد و نگارش روز آمد شده آن تحت عنوان IEEE 802.11-1999 منتشر شد. استاندارد جاری شبکه‌های محلی بی‌سیم یا همانIEEE 802.11 تحت عنوان ISO/IEC 8802-11:1999، توسط سازمان استاندارد سازی بین‌المللی (ISO) و مؤسسه استانداردهای ملی آمریکا (ANSI) پذیرفته شده است. تکمیل این استاندارد در سال 1997، شکل گیری و پیدایش شبکه سازی محلی بی‌سیم و مبتنی بر استاندارد را به دنبال داشت. استاندارد 1997، پهنای باند 2Mbps را تعریف می‌کند با این ویژگی که در شرایط نامساعد و محیط‌های دارای اغتشاش (نویز) این پهنای باند می‌تواند به مقدار 1Mbps کاهش یابد. روش تلفیق یا مدولاسیون در این پهنای باند روش DSSS است. بر اساس این استاندارد پهنای باند 1 Mbps با استفاده از روش مدولاسیون FHSS نیز قابل دستیابی است و در محیط‌های عاری از اغتشاش (نویز) پهنای باند 2 Mbpsنیز قابل استفاده است. هر دو روش مدولاسیون در محدوده باند رادیویی 2.4 GHz عمل می‌کنند. یکی از نکات جالب توجه در خصوص این استاندارد استفاده از رسانه مادون قرمز علاوه بر مدولاسیون‌های رادیویی DSSS و FHSS به عنوان رسانهانتقال است. ولی کاربرد این رسانه با توجه به محدودیت حوزه عملیاتی آن نسبتاً محدود و نادر است. گروه کاری 802.11 به زیر گروه‌های متعددی تقسیم می‌شود. شکل‌های 1-1 و 1-2 گروه‌های کاری فعال در فرآیند استاندارد سازی را نشان می‌دهد.

4-1 شبکه وایرلس( wireless ) چیست ؟ …………………………………27
استاندارد شبکه های محلی بی سیم …………………………………….27
شبکه‌های بی‌سیم و انواع WWAN , WLAN , WPAN ا…………………29
منشأ ضعف امنیتی در شبکه‌های بی‌سیم و خطرات معمول…………… 31
مشخصات و خصوصیات WLANا……………………………………………. 32
4-2 کامپوننت………………………………………………………………… 33
4-2-1 کامپوننت های شاخص……………………………………………… 33

فصل پنجم Network Behavior Analysis ا

-1-1 کامپوننت های شاخص
NBA معمولا دارای sensor می باشد، و در برخی از مسائل یک سرور مدیریتی نیز دارا می باشد که به آن Analyzer می گویند. Sensor ها به صورت Appliance ارئه می شوند. برخی sensor ها مانند sensor¬های Network-Based می باشند و ترافیک را sniff می کنند و سپس اقدام به مانیتور نمودن فعالیت آنها می کنند. باقی sensor ها به صورت مستقیم ترافیک را مانیتور نمی کنند، بلکه به جای آن بر روی flow هایی که از طریق Router ها و یا سایر دستگاه ها ارسال می شوند تکیه می زنند. منظور از flow ارتباطات ویژه ای می باشد که بین Host ها در حال وقوع است. استاندارهای زیادی برای flow وجود دارد مانند NetFlow و یا sFlow. به طور شاخص دیتاهایی که در یک flow وجود دارد و برای تشخیص نفوذ اهمیت دارند به شرح زیر می باشد:
 آدرس مبدا و مقصد
 پورت TCP و UDP مبدا و مقصد، انواع ICMP
 تعداد پکت ها و تعداد بایت های مبادله شده در یک session
 Timestamp ها برای زمان آغاز و پایان یک session

5-1-2 معماری
NBA نیز می تواند از یک سیستم مدیریت جهت آنالیز شبکه استفاده نماید و یا در راه شبکه استاندارد قرار گیرد. اگر از sensor ها جهت دریافت flow استفاده می شود، می توان NBA را در خارج از محدوده شبک استاندارد قرار داد.
5-2 امنیت
5-2-1 قابلیت جمع آوری اطلاعات
NBA اطلاعات بسیار خوبی را می تواند در اختیار مدیران قرار دهد. NBA می تواند به صورت خودکار لیستی از هاست های موجود در یک سازمان را ایجاد و نگهداری کند، این لیست براساس ترافیک مانیتور شده از سازمان و ارتباطات موجود بین هاست های سازمان می باشد. این تکنولوژی می تواند با استفاده از مانیتور نمودن میزان مصرف پورت ها و تکنیک های دیگر اطلاعات جامع و مناسبی را جمع آوری نماید. اطلاعاتی که از هاست ها بدست می آید شامل موارد زیر می باشد:
 آدرس IP
 سیستم عامل مورد استفاده
 چه سرویس هایی را ارائه می کند، شامل پروتکل های IP و پورت های TCP و UDP که برای انجام استفاده می کند هاست های دیگری که با آن در ارتباط هستند، چه سرویس هایی را استفاده می کند و چه پروتکل-های IP و پورت های TCP و UDP را جهت ارتباط با سایر هاست ها استفاده می کند

5-1 کامپوننت ها و معماری………………………………………………….. 35
5-2 امنیت………………………………………………………………………. 36

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فصل ششم نحوه نوشتن Rule های IDS ا

نوشتن Rule های IDS بسیار ساده و در این حال پرقدرت می باشد. در این قسمت سعی شده تا به صورت کامل نحوه نوشتن Rule های IDS آورده شود تا در کارایی آنها در سیستم افزایش یابد.اکثر Rule ها در یک خط نوشته می شوند، اما Rule هایی که به نوع خاصی از کشف مربوط می شوند در چند خط نوشته خواهند شد که در این صورت در پایان خط برای آنکه به سیستم اعلام شود خط بعد نیز مربوط به Rule موجود می باشد یک backslash (\) آورده می شود.Rule ها به دو بخش منطقی Header و option تقسیم می شوند. قسمت Header در بر گیرنده فعالیت مورد انتظار از Rule، پروتکل، آدرس IP مبدا و مقصد به همراه Netmask آنها و همچین اطلاعات مربوط به پورت مبدا و مقصد می باشد. در بخش option پیام مورد انتظار جهت اطلاع رسانی و اطلاعات مربوط به اینکه کدام قسمت از Packet باید بررسی شود تا در صورت برقراری شرایط action مربوط به Rule اجرا گردد.در زیر یک Rule برای مثال آورده شده است.Alert tcp any any -> 192.168.10.0/24 111 (content:”|00 11 87 81|”; msg:”test”;)تمام موارد قبل از پرانتز جزء Header محسوب شده و موارد داخل پرانتز option ها می باشند. کلماتی که قبل از کالن ها آورده می شوند به Keyword های option معروفند.تمام موارد آورده شده در یک Rule باید صحیح باشند تا یک action به اجرا در آید. بین تمام شرایط آورده شده در Rule یک AND منطقی وجود دارد.

6-1 Rule Header ا………………………………………………………………40
6-2 Rule Option ا…………………………………………………………………42
منابع و ماخذ……………………………………………………………………….44



  مقطع کارشناسی ارشد

بلافاصله بعد از پرداخت به ایمیلی که در مرحله بعد وارد میکنید ارسال میشود.


فایل pdf غیر قابل ویرایش

قیمت25000تومان

250,000RIAL – اضافه‌کردن به سبدخرید

خرید فایل word

قیمت35000تومان

350,000RIAL – اضافه‌کردن به سبدخرید