سامانه جلوگیری نفوذ
سامانههای پیشگیری از نفوذ (به انگلیسی Intrusion prevention system) که با نام سامانههای تشخیص و جلوگیری از نفوذ هم شناخته میشوند، ابزاری برای امنیت شبکه هستند که فعالیتهای موجود در شبکه یا سامانه را برای تشخیص و جلوگیری از فعالیتهای مخرب تحت نظر میگیرند. وظایف اصلی یک سامانه جلوگیری نفوذ شامل شناسایی فعالیتهای مخرب، ثبت اطلاعات در مورد این فعالیتها، اقدام به بلوکه و متوقف کردن این فعالیتها و ثبت گزارش کارهای انجام شده توسط خود سامانه میشوند.
سامانههای جلوگیری از نفوذ حالت ارتقا یافته سامانههای تشخیص نفوذ محسوب میشوند چرا که هر دو این سامانهها فعالیتهای شبکه یا سامانه را برای یافتن فعالیتهای مخرب نظارت میکنند. تفاوت اصلی این سامانهها با سامانههای تشخیص نفوذ در این است که این سامانهها میتوانند به صورت فعال مانع فعالیتهای مخرب شده یا آنها را متوقف کنند. بهطور دقیقتر میتوان گفت که یک سامانه جلوگیری نفوذ توانایی انجام کارهایی مانند ارسال هشدار، دور ریختن بستههای مخرب، بازنشاندن یا بلوکه کردن ارتباط از طرف آدرسهای متخاصم. این سامانهها همچنین توانایی اصلاح خطاهای CRC، اصلاح ترتیب بستهها، جلوگیری از مسائل ترتیب بسته TCP و پاکسازی گزینههای ناخواسته در لایه حمل و شبکه را دارند.
دسته بندیها
سامانههای جلوگیری از نفوذ به چهار نوع مختلف تقسیم بندی میشوند:
- سامانههای جلوگیری از نفوذ مبتنی بر شبکه (NIPS): تمام شبکه را به وسیلهٔ تحلیل عملیات پروتکل جهت یافتن ترافیک مشکوک نظارت میکند.
- سامانههای تشخیص نفوذ بیسیم (WIPS): شبکه بیسیم را جهت یافتن ترافیک مشکوک به وسیلهٔ تحلیل پروتکلهای شبکه بیسیم نظارت میکند.
- تجزیه و تحلیل رفتار شبکه(NBA): جهت تشخیص تهدیدهایی که جریان ترافیکی غیرمعمول تولید میکنند، ترافیک شبکه را آزمایش میکند، مثلاً حملههای منع سرویس توزیع شده یا نوع خاصی از بدافزارها
- سامانههای جلوگیری از نفوذ مبتنی بر میزبان (HIPS): بسته نرمافزاری نصب شدهای است که فقط یک میزبان را جهت یافتن فعالیتهای مشکوک نطارت میکند که این کار از طریق تحلیل رخدادهایی که درون آن میزبان اتفاق میافتد انجام میشود.
روشهای شناسایی
اکثر سامانههای پیشگیری از نفوذ، از یکی از سه روش پیشگیری استفاده میکنند: ۱- مبتنی بر امضا ۲- مبتنی بر آنومالی آماری ۳- تجزیه و تحلیل پروتکل مبتنی بر حالت
- شناسایی مبتنی بر امضا: سامانههای تشخیص نفوذ مبتنی بر امضا، بستهها را در شبکه نطارت کرده و آنها را با الگوهای پیش از پیکربندی و پیش از تعیین حمله که به عنوان امضا محسوب میشوند، مقایسه میکند.
- شناسایی مبتنی بر آنومالی آماری: سامانه تشخیص نفوذ مبتنی بر آنومالی آماری،فعالیت شبکه نرمال را مشخص میکند مثلاً بهطور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفتهاست یا چه پروتکلهایی استفاده شدهاست یا چه پورتها و وسایلی بهطور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به کاربر یا مدیر هشدار دهد.
- تجزیه و تحلیل پروتکلهای مبتنی بر حالت: این روش انحراف حالت پروتکلها را مشخص میکند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایلهای از پیش تعیین شدهای که مطابق با تعریف مورد قبول هستند، انجام میشود.
موضوعات مرتبط
منابع
- ↑ "NIST – Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). ۲۰۰۷-۰۲. Retrieved 2010-06-25.
- ↑ Robert C. Newman (19 February 2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. pp. 273–. ISBN 978-0-7637-5994-0. Retrieved 25 June 2010.
- ↑ Michael E. Whitman; Herbert J. Mattord (2009). Principles of Information Security. Cengage Learning EMEA. pp. 289–. ISBN 978-1-4239-0177-8. Retrieved 25 June 2010.
- ↑ Tim Boyles (2010). CCNA Security Study Guide: Exam 640-553. John Wiley and Sons. pp. 249–. ISBN 978-0-470-52767-2. Retrieved 29 June 2010.
- ↑ Harold F. Tipton; Micki Krause (2007). Information Security Management Handbook. CRC Press. pp. 1000–. ISBN 978-1-4200-1358-0. Retrieved 29 June 2010.
- ↑ John R. Vacca (2010). Managing Information Security. Syngress. pp. 137–. ISBN 978-1-59749-533-2. Retrieved 29 June 2010.
- ↑ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23–25, 2009, Proceedings. Springer. pp. 162–. ISBN 978-3-642-04341-3. Retrieved 29 June 2010.