سیستم تشخیص نفوذ شبکه
سیستم تشخیص نفوذ مبتنی بر شبکه (به انگلیسی: Network Intrusion Detection System (NIDS)) شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. NIDS، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار NIDS، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که NIDS تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رویایی با بستههای رمزشده یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند.
سیستم تشخیص نفوذ شبکه ترافیک یک شبکه را برای پیدا کردن فعالیتهای مشکوک مثل یک حمله یا فعالیتهای غیر مجاز مانیتور میکند.
سرورهای بزرگ NIDS میتواند روی یک ستون فقرات (به انگلیسی: back bone) کارگزاری شود تا همهٔ ترافیکها را مانیتور کند یا یک سیستم کوچکتر میتواند کارگزاری شود تا ترافیک یک بخشی از سرور را مانیتور کند، مثل سوئیچ و روتر.
به علاوه برای مانیتور کردن ترافیک ورودی و خروجی شبکه، سرور NIDS میتواند فایلهای سیستم را اسکن کند تا فعالیتهای غیر مجاز را پیدا کندو جامعیت دادهها و فایلها را حفظ کند.
سرور NIDS میتواند تغییراتی را که در اجزای هسته سرور ایجاد میشود را شناسایی کند. علاوه بر مانیتور کردن ترافیک، سرور NIDS میتواند فایلهای لاگ سرور را اسکن کند و ترافیکهای مشکوک را پیدا کند.
سرور NIDS به عنوان امنیت اولیه مانند دیوار آتش و رمزنگاری و روشهای احراز هویت قرار داده نمیشود سرور NIDS یک پشتیبان از تمام وسایل شبکه است که باید با اقدامات احتیاطی رایج مانند ایجاد امنیت فیزیکی، قانونهای امنیتی به ثبت رسیده و غیره کارگزاری شود.
وظیفه اصلی NIDS
- تشخیص دادن حمله: این قبیل سیستمها خطرهای امنیتی و حملات را کشف میکنند. این کار با استفاده از مانیتور کردن شبکه بهطور بلادرنگ انجام میدهند.
- دادن اطلاعات: اگر این سیستم حمله را شناسایی کند آن اطلاعات را درباره حمله ارسال میکند. - ذخیره سازی: این سیستم رویدادها را به صورت محلی یا به روش دیگری ذخیره میکند
اطراف شبکه مکان خوبی برای کارگزاری این سیستم میباشد. یک NIDS در نقاط استراتژی در یک شبکه قرار میگیرد بنابراین میتواند ترافیک عبوری به / از دستگاههای متفاوت روی آن شبکه را مانیتور کند.
دو نوع از این سیستم وجود دارد:
۱- سیستم مبتنی بر امضا
۲- سیستم مبتنی بر نا همسانی
مزیتهای NIDS
گسترش آسان: گسترش این سیستمها آسان است. نیازی نیست تا ساختار موجود در سیستم تان را تغییر دهید.
هزینه کمتر: این سیستمها میتوانند در همه شبکهها نصب شوند بنابراین نیازمندیهای نرمافزاری که هر میزبان در شبکه دارد را حذف میکند. شناسایی حملهها: این سیستم به اسانی حملههایی که از اسکنرهای حسگر مبتنی بر میزبان فرار کردهاند را شناسایی میکند.
این سیستم میتواند تعداد زیادی از هشدارها در یک روز را جمع اوری کند.
کارها مانند آنالیز کردن و فیلتر کردن میتواند به صورت دستی انجام شود.