سیستم های تشخیص نفوذ

سیستم های تشخیص نفوذ امروزه در بسیاری از شبکه ها استفاده می شوند. در با مفاهیم سیستم IDS آشنا شدیم.

سیستم های تشخیص نفوذ

در قسمت اول با مفاهیم سیستم تشخیص نفوذ آشنا شدیم. در این قسمت با مدل های مختلف عملکرد آن آشنا می شویم.
دیتابیس IDS ها را می توان به 2 گونه تقسیم کرد :
•    Signature-based
•    Anomaly-based

Signature-based IDS
در این روش یک دیتابیس بنام attack database وجود دارد که تمام انواع حملات را که در شبکه ممکن است رخ دهد را در دیتابیس خود ذخیره کرده است. هر زمانی که sensor ها اطلاعاتی را به collector IDS میفرستند collector دیتابیس خود را چک میکند و اگر رکوردی از دیتابیس با اطلاعات فرستاده شده یکسان باشد collector IDS متوجه حمله ای در شبکه میشود.
Signature based متنند آنتی ویروس عمل میکند اگر دیتابیسش قدیمی باشد نمیتواند حمله های جدید را تشخیص دهد. ازین رو همواره باید آن را آپدیت کرد.


Signature-base ids



Anomaly-based IDS
در این روش به جای attack database از history database استفاده میشود.  history database اطلاعاتی را از ترافیک های نرمال شبکه جمع آوری میکند و به مرور زمان رفتار نرمال در شبکه را تشخیص میدهد. در هر زمانی که رفتار غیر نرمالی را در شبکه رویت کند که با دیتابیس خودش سازگار نباشد تشخیص میدهد که حمله ای صورت پذیرفته است. مزیت این روش نسبت به Signature based در این است که دیگر نیازی نیست که بطور مستمر دیتابیس را آپدیت کنیم. در این روش رفتار نرمال در شبکه را IDS تشخیص میدهد.


anomaly-base ids



IDS ها از دیدگاه عملکرد به دو دسته تقسیم می شوند:
•    Passive IDS
•    Reactive IDS

Passive IDS
در این روش وقتی Sensor ها اطلاعات را به Collector می فرستند ، Collector تشخیص می دهد که حمله ای صورت پذیرفته است ، به Alarm server اطلاع می دهد و Alarm server نشان می دهد که حمله ای رخ داده است . Passive IDS فقط نقش تشخیص حمله را به عهده دارد و از حمله جلوگیری نمی کند.

 passive ids


Reactive IDS
Reactive IDS مانند Passive کار می کند فقط با این تفاوت که زمانی که Collector تشخیص حمله داد بسته ای را به Alarm server برای اعلام حمله می فرستد و بسته ی دیگری را به Firewall و یا router می فرستد تا جلوی ترافیک مزبور را بگیرند. در این سیستم IDS فقط نقش هشدار دهنده ندارد بلکه جلوی حمله را هم می گیرد .

reactive ids

 

موارد مرتبط

چیدمان رم های سرور HP DL380 G9

طریقه چیدمان رم ها برای سرور DL380 G9 را در این مط

مدل های مختلف IOS های سوئیچ ها

سوالی که همیشه مطرح می شود تفاوت مدل IOS در سوئیچ

اصول طراحی مراکز داده (قسمت دو

همانطور که در مطلب پیشین اصول طراحی مراکز داده (قس

محبوب ترین آموزش ها