سیستم تشخیص نفوذ مبتنی بر میزبان
سیستم تشخیص نفوذ مبتنی بر میزبان نوعی از سیستم تشخیص نفوذ است که درون یک سیستم محاسباتی را نظارت و تحلیل میکند بهطور مثال بستههایی که بر روی واسط شبکه آن سیستم عبور میکند را بررسی میکند (همانند سیستم تشخیص نفوذ مبتنی بر شبکه). این اولین نوع از نرمافزار تشخیص نفوذ بود که جهت کامپیوترهای بزرگ که ارتباطات کمی با محیط بیرون داشتند طراحی گردید.
دید کلی
سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)تمام حالات و رفتارهای پویای سیستم کامپیوتری را نظارت میکند. سیستم تشخیص نفوذ مبتنی بر میزبان در کنار چنین فعالیتهایی مثل بازرسی پویای بستههایی از شبکه که مقصد آنها یک میزبان مشخص است تعیین میکند که چه برنامههایی به چه منابعی دسترسی دارند؛ مثلاً مشخص میکند که یک پردازشگر لغت بهطور تصادفی و نامعلوم شروع به تغییر دادن پایگاه داده رمز عبور یک سیستم کردهاست. بهطور مشابه ممکن است سیستم تشخیص نفوذ مبتنی بر میزبان به وضعیت سیستم توجه کرده مثلاً اطلاعاتی را که در حافظه رَم یا سیستم فایل یا فایلهای لاگ ذخیره شده باشند را بررسی کرده و متوجه شود که محتوای اینها در معرض تغییر هستند. سیستم تشخیص نفوذ مبتنی بر میزبان را میتوان به عنوان عاملی در نطر گرفت که هر شی یا شخص داخلی یا خارجی را که میخواهد سیاستهای امنیتی سیستم را به چالش بکشد، تحت نطارت قرار میدهد.
مشاهده فعالیتهای پویا
اکثر کاربران کامپیوتر با ابزارهایی مانند آنتیویروسها مواجه میشوند که فعالیتهای پویای سیستم را تحت نظر قرار میدهند. در حالی که نرمافزارهای آنتیویروس اغلب وضعیت سیستم را تحتنظر قرار میدهند و اکثر وقت خود را صرف این میکنند که بدانند چه کسی مشغول انجام چه کاری در درون کامپیوتر است و همچنین دستترسی بعضی از برنامهها به منابع معین را کنترل میکنند. در این راستا وضعیت بسیار مبهم میشود زیرا اکثر ابزارها در عملکردهایشان همپوشانی دارند. سیستمهای پیشگیری از نفوذ نوعی از نرمافزارهای تشخیص نفوذ مبتنی بر میزبان هستند که در مقابل حملات سرریز بافر که بر روی حافظه سیستم انجام میشوند محافظت ایجاد میکنند و به اجرای سیاستهای امنیتی میپردازند.
مشاهده حالت
عملیات اصلی سیستم تشخیص نفوذ مبتنی بر میزبان به این بستگی دارد که آیا هکرها واقعاً ردپایی از خود بجا میگذارند یا نه. در حقیقت چنین هکرهایی میخواهند مالکیت یک سیستم کاممپیوتری که مورد هک واقه شدهاست را به نام خود درآورند. آنها این کار را از طریق نصب کردن نرمافزارهایی انجام میدهند تا در آینده مالکیت و حق دسترسی به هر کاری که میخواهند انجام دهند را بدست آورند.
تکنیک
بهطور کل سیستم تشخیص نفوذ مبتنی بر میزبان از پایگاه دادهای از اشیا سیستمی که باید تحت نطارت داشته باشد استفاده میکند. سیستم تشخیص نفوذ مبتنی بر میزبان باید نواحی ویژهای از حافظه را که تغییر نکردهاند را تحت کنترل داشته باشد مثلاً جدول فراخوانی سیستمی در لینوکس یا ساختارهای جدولی مختلف در مایکروسافت ویندوز. یک سیستم تشخیص نفوذ مبتنی بر میزبان تمام مشخصههای یک شی را بخاطر میسپارد مثلاً سطوح دسترسی یا اندازه و تاریخهای تغییر آنها. سپس برای هر کدام از محتواها یک چکسام از انواه مختلف مثلاً MD5 یا SHA1 تولید میکند و این اطلاعات جهت مقایسههای آتی در یک پایگاه داده امن ذخیره میشود.
عملیات
در زمان نصب و هر موقع که یک شی تحت نطارت به صورت قانونی تغییر میکند یک سیستم تشخیص نفوذ مبتنی بر میزبان باید به وسیلهٔ اسکن کردن اشیا مرتبط عملیات چکسام پایگاه داده را آغاز نماید. افرادی که مسوول برقراری امنیت در سیستمهای کامپیوتری هستند باید این عملیات را شدیداً کنترل کنند تا مانع از تغییر غیرقانونی پایگاه دادهها بوسله هکرها شوند. چنین عملیاتهایی زمان بسیار طولانی نیاز دارد و همچنین نیازمند استفاده از رمزنگاریهایی جهت تحت نظارت قرار دادن پایگاه دادههایی از چکسامها میباشد.
محافظت سیستم تشخیص نفوذ مبتنی بر میزبان
سیستمهای تشخیص نفوذ مبتنی بر میزبان به طولهای بزرگی جهت جلوگیری از تغییر پایگاه دادههای اشیا و چکسامها نیاز دارد و به عنوان هر نوع دستکاری گزارش میشود. بعد از همه اینها اگر هکرها در تغییر دادن اشیا تحت نطارت سیستمهای تشخیص نفوذ مبتنی بر میزبان موفق بودند هیچ چیزی نمیتواند جلودار تغییر دادن خود سیستمهای تشخیص نفوذ مبتنی بر میزبان شوند. مگر اینکه مدیران امنیتی اقدامات مناسبی را انجام دهند؛ مثلاً تعداد زیادی از ویروسها و کرمها میتوانند به تغییر ابزارهای ضدویروس بپردازند.
منابع
- ↑ Newman, Robert C. (2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 0-7637-5994-5.
- ↑ Debar, Hervé; Dacier, Marc; Wespi, Andreas (April, 23 1999). "Towards a taxonomy of intrusion-detection systems". Computer Networks. 31 (8): 805–822. doi:10.1016/S1389-1286(98)00017-6.
- ↑ Cox, Kerry; Gerg, Christopher (2004). Managing security with Snort and IDS tools. O'Reilly Series. O'Reilly Media, Inc. p. 3. ISBN 0-596-00661-6.