سیستم تشخیص نفوذ مبتنی بر میزبان

سیستم تشخیص نفوذ مبتنی بر میزبان نوعی از سیستم تشخیص نفوذ است که درون یک سیستم محاسباتی را نظارت و تحلیل می‌کند به‌طور مثال بسته‌هایی که بر روی واسط شبکه آن سیستم عبور می‌کند را بررسی می‌کند (همانند سیستم تشخیص نفوذ مبتنی بر شبکه). این اولین نوع از نرم‌افزار تشخیص نفوذ بود که جهت کامپیوترهای بزرگ که ارتباطات کمی با محیط بیرون داشتند طراحی گردید.

دید کلی

سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)تمام حالات و رفتارهای پویای سیستم کامپیوتری را نظارت می‌کند. سیستم تشخیص نفوذ مبتنی بر میزبان در کنار چنین فعالیت‌هایی مثل بازرسی پویای بسته‌هایی از شبکه که مقصد آن‌ها یک میزبان مشخص است تعیین می‌کند که چه برنامه‌هایی به چه منابعی دسترسی دارند؛ مثلاً مشخص می‌کند که یک پردازش‌گر لغت به‌طور تصادفی و نامعلوم شروع به تغییر دادن پایگاه داده رمز عبور یک سیستم کرده‌است. به‌طور مشابه ممکن است سیستم تشخیص نفوذ مبتنی بر میزبان به وضعیت سیستم توجه کرده مثلاً اطلاعاتی را که در حافظه رَم یا سیستم فایل یا فایل‌های لاگ ذخیره شده باشند را بررسی کرده و متوجه شود که محتوای این‌ها در معرض تغییر هستند. سیستم تشخیص نفوذ مبتنی بر میزبان را می‌توان به عنوان عاملی در نطر گرفت که هر شی یا شخص داخلی یا خارجی را که می‌خواهد سیاست‌های امنیتی سیستم را به چالش بکشد، تحت نطارت قرار می‌دهد.

مشاهده فعالیت‌های پویا

اکثر کاربران کامپیوتر با ابزارهایی مانند آنتی‌ویروس‌ها مواجه می‌شوند که فعالیت‌های پویای سیستم را تحت نظر قرار می‌دهند. در حالی که نرم‌افزارهای آنتی‌ویروس اغلب وضعیت سیستم را تحت‌نظر قرار می‌دهند و اکثر وقت خود را صرف این می‌کنند که بدانند چه کسی مشغول انجام چه کاری در درون کامپیوتر است و همچنین دستترسی بعضی از برنامه‌ها به منابع معین را کنترل می‌کنند. در این راستا وضعیت بسیار مبهم می‌شود زیرا اکثر ابزارها در عملکردهایشان همپوشانی دارند. سیستم‌های پیشگیری از نفوذ نوعی از نرم‌افزارهای تشخیص نفوذ مبتنی بر میزبان هستند که در مقابل حملات سرریز بافر که بر روی حافظه سیستم انجام می‌شوند محافظت ایجاد می‌کنند و به اجرای سیاست‌های امنیتی می‌پردازند.

مشاهده حالت

عملیات اصلی سیستم تشخیص نفوذ مبتنی بر میزبان به این بستگی دارد که آیا هکرها واقعاً ردپایی از خود بجا می‌گذارند یا نه. در حقیقت چنین هکرهایی می‌خواهند مالکیت یک سیستم کاممپیوتری که مورد هک واقه شده‌است را به نام خود درآورند. آنها این کار را از طریق نصب کردن نرم‌افزارهایی انجام می‌دهند تا در آینده مالکیت و حق دسترسی به هر کاری که می‌خواهند انجام دهند را بدست آورند.

تکنیک

به‌طور کل سیستم تشخیص نفوذ مبتنی بر میزبان از پایگاه داده‌ای از اشیا سیستمی که باید تحت نطارت داشته باشد استفاده می‌کند. سیستم تشخیص نفوذ مبتنی بر میزبان باید نواحی ویژه‌ای از حافظه را که تغییر نکرده‌اند را تحت کنترل داشته باشد مثلاً جدول فراخوانی سیستمی در لینوکس یا ساختارهای جدولی مختلف در مایکروسافت ویندوز. یک سیستم تشخیص نفوذ مبتنی بر میزبان تمام مشخصه‌های یک شی را بخاطر می‌سپارد مثلاً سطوح دسترسی یا اندازه و تاریخ‌های تغییر آن‌ها. سپس برای هر کدام از محتواها یک چک‌سام از انواه مختلف مثلاً MD5 یا SHA1 تولید می‌کند و این اطلاعات جهت مقایسه‌های آتی در یک پایگاه داده امن ذخیره می‌شود.

عملیات

در زمان نصب و هر موقع که یک شی تحت نطارت به صورت قانونی تغییر می‌کند یک سیستم تشخیص نفوذ مبتنی بر میزبان باید به وسیلهٔ اسکن کردن اشیا مرتبط عملیات چک‌سام پایگاه داده را آغاز نماید. افرادی که مسوول برقراری امنیت در سیستم‌های کامپیوتری هستند باید این عملیات را شدیداً کنترل کنند تا مانع از تغییر غیرقانونی پایگاه داده‌ها بوسله هکرها شوند. چنین عملیات‌هایی زمان بسیار طولانی نیاز دارد و همچنین نیازمند استفاده از رمزنگاری‌هایی جهت تحت نظارت قرار دادن پایگاه داده‌هایی از چک‌سام‌ها می‌باشد.

محافظت سیستم تشخیص نفوذ مبتنی بر میزبان

سیستم‌های تشخیص نفوذ مبتنی بر میزبان به طول‌های بزرگی جهت جلوگیری از تغییر پایگاه داده‌های اشیا و چک‌سام‌ها نیاز دارد و به عنوان هر نوع دستکاری گزارش می‌شود. بعد از همه این‌ها اگر هکرها در تغییر دادن اشیا تحت نطارت سیستم‌های تشخیص نفوذ مبتنی بر میزبان موفق بودند هیچ چیزی نمی‌تواند جلودار تغییر دادن خود سیستم‌های تشخیص نفوذ مبتنی بر میزبان شوند. مگر اینکه مدیران امنیتی اقدامات مناسبی را انجام دهند؛ مثلاً تعداد زیادی از ویروس‌ها و کرم‌ها می‌توانند به تغییر ابزارهای ضدویروس بپردازند.

منابع

↑ Newman, Robert C. (2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 0-7637-5994-5.
↑ Debar, Hervé; Dacier, Marc; Wespi, Andreas (April, 23 1999). "Towards a taxonomy of intrusion-detection systems". Computer Networks. 31 (8): 805–822. doi:10.1016/S1389-1286(98)00017-6.
↑ Cox, Kerry; Gerg, Christopher (2004). Managing security with Snort and IDS tools. O'Reilly Series. O'Reilly Media, Inc. p. 3. ISBN 0-596-00661-6.

پیوند به بیرون

[newman2009-1] Newman, Robert C. (2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. ISBN 0-7637-5994-5.

[cn31_8_805-2] Debar, Hervé; Dacier, Marc; Wespi, Andreas (April, 23 1999). "Towards a taxonomy of intrusion-detection systems". Computer Networks. 31 (8): 805–822. doi:10.1016/S1389-1286(98)00017-6.

[cox_gerg2004-3] Cox, Kerry; Gerg, Christopher (2004). Managing security with Snort and IDS tools. O'Reilly Series. O'Reilly Media, Inc. p. 3. ISBN 0-596-00661-6.