مقاله تکنولوژی سیستم تشخیص نفوذ و جلوگیری از حمله
سیستم تشخیص نفوذ، روندمانیتورینگ هررویداددرسیستم کامپیوتری یا شبکهای و تجزیه و تحلیل آنها برای شناسایی اتفاقات احتمالی است؛ که شامل نواقص وتهدیدات قریب الوقوع و نقصانهای سیاستی امنیت کامپیوتر،سیاستهای بهرهبرداری قابل قبول، یاروشهای امنیتی استاندارد میباشد.
جلوگیری از نفوذ،فرایند انجام تشخیص نفوذهاو تلاش برای متوقف کردن حوادث تشخیص داده شده استIDPS دردرجه اول برشناسایی رویدادهای ممکن، ثبت اطلاعات درمورد رویدادها، تلاش برای توقف آنها، و دادن گزارش به مدیران امنیت، تمرکز می کند.
علاوه بر این سازمانها از IDPS برای اهدافی از قبیل شناسایی مشکلات سیاستهای امنیتی و مستندسازی تهدیدات موجود، و پیشگیری از ورود افراد از طریق نقص های سیاستی استفاده می کنند. IDPS به یک ضرورت اضافی برای زیرساخت امنیتی هر سازمان تبدیل شده است.
در این مقاله یکی از تکنولوژیهای IDPS به نام “سیستم تجزیه و تحلیل رفتار شبکه” را مطرح می کنیم.سیستم تجزیه وتحلیل رفتارشبکه، اساسا تکنولوژی است که ترافیک شبکه رابرای شناسایی تهدیداتی که جریان ترافیک غیرمعمول تولیدمیکنند، ازقبیل حملات از کار انداختن سیستم (DOS یا DDOS) ، انواع نرم افزارهای مخرب (Malware)، و نواقص سیاستی، را بررسی می کند. در این مقاله ما به جزئیات تکنولوژی NBA می پردازیم.
نخست اجزای اصلی تکنولوژی NBA را بررسی می کنیم، و معماری معمول استفاده از استقراء اجزا را توضیح می دهیم. همچنین به بررسی قابلیتهای تکنولوژی های امنیتی عمیق، که شامل روشهای آنها با استفاده ازشناسایی فعالیتهای مشکوک است، میپردازیم. بقیه بخش ها در مورد قابلیت مدیریتی فن آوری ها، شامل توصیه هایی برای پیاده سازی و بهره برداری، بحث می کنیم.
سیستم تشخیص نفوذ (IDS)، نرم افزاری استکه فرایندتشخیص نفوذ را خودکار میکند. یک سیستم پیشگیری از نفوذ (IPS)، نرم افزاری است که تمام قابلیتهای سیستم تشخیص نفوذ را داردو همچنین میتواند برای متوقف کردن حوادث احتمالی تلاش کند.
تشخیص نفوذ، فرایند نظارت بروقایقی است که دریک سیستم کامپیوتری یا شبکه اتفاق می افتد،و آنهارا با نشانه گذاری تجزیه و تحلیل می کند، که نقص ها یا خطرات قریب الوقوعی از سیاست های امنیتی کامپیوتر، یا سیاستهای بهرهبرداری قابل قبول و یا شیوه های امنیتی استاندارد هستند.پیشگیری از نفوذ، روند انجام تشخیص نفوذ و تلاش برای توقف حوادث ممکن شناسایی شده، می باشد.
سیستمهای تشخیص وجلوگیری ازنفوذ (IDPS)،عمدتا برشناسایی حوادث ممکن، ثبت اطلاعات درباره آنها،تلاش برای متوقف کردن آنها، وگزارش به مدیران،تمرکز میکنند.IDPS ها عموما اطلاعات مربوط به رویدادهای مشاهده شده،آگاه ساختن مدیران امنیتی از رویدادهای مهم مشاهده شده، و تولید گزارش را ثبت میکنند. بسیاری از IDPS ها همچنین می توانند به شناسایی تهدیدها به وسیله تلاش برای جلوگیری از موفقیت آنها، پاسخ دهند.
آنها همچنین ازتکنیکهای چندپاسخی شامل IDPS توقف حمله خودکار،تغییرمحیط امنیتی(بطورمثال تنظیم مجدد فایروالها)، یاتغییرمحتوای حمله، استفاده میکنند.انواع تکنیکهای IDPS دردرجه اول براساس انواع رویدادهایی که برآنها نظارت میکنند و راه هایی که در آن مستقر می شوند، متمایز می شوند.
1)مبتنی بر شبکه: بر بخشهای خاص شبکه ها، تجزیه و تحلیل آنها وفعالیتهای پروتکل برای شناسایی رویدادهای مشکوک، نظارت دارد.
2)بی سیم: بر ترافیک شبکه بی سیم ، برای شناسایی فعالیت های مشکوک نظارت دارد. (این نظارت شامل خود پروتکل های شبکه بی سیم نیز میباشد.)
3) سیستم تجزیه وتحلیل رفتار شبکه (NBA):ترافیک شبکه برای شناسایی خطراتی که جریان ترافیک غیرمعمول ایجاد می کنند،ازقبیل سرویسِ ازکارانداختن حملات توزیع شده، بعضی ازاشکال نرم افزارهای مخرب و نواقص سیاست (به طور مثال یک سیستم کلاینت که سرویس شبکه را به سیستم های دیگر ارائه میدهد)، را بررسی می کنند.
4)مبتنی بر میزبان: برویژگیهای یک میزبان و رویدادهایی که دریک میزبان نسبت به فعالیتهای مشکوک رخ میدهد ، نظارت دارد.
دراین مقاله ما در مورد تجزیه و تحلیل رفتار شبکه (NBA)، که به بررسی ترافیک شبکه برای شناسایی تهدیداتی که ترافیک جریان غیرمعمول تولیدمیکند،ازقبیل حملات Dos وانواع نرم افزارهای مخرب(مانند کرم ها، درب پشتی ها،و نواقص سیاستی )، بحث می کنیم.
نقد و بررسیها
هیچ دیدگاهی برای این محصول نوشته نشده است.