سیستم تشخیص نفوذ مبتنی بر ناهنجاری: تفاوت میان نسخه‌ها

محتوای حذف‌شده محتوای افزوده‌شده

درخط

نسخهٔ ‏۷ مارس ۲۰۲۲، ساعت ۰۴:۳۴

سیستم تشخیص نفوذ مبتنی بر ناهنجاری، یک سیستم تشخیص نفوذ برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقه‌بندی آن به عنوان عادی یا غیرعادی است. این طبقه‌بندی به جای الگوها یا امضاها بر اساس موارد اکتشافی یا موارد بر اساس الگوها است و تلاش می‌کند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستم‌های مبتنی بر امضا است که فقط می‌توانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شده‌است.

به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستم‌های تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته می‌شود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه می‌شود). ناهنجاری ها به روش های مختلفی شناسایی می شوند که اغلب با تکنیک های هوش مصنوعی انجام می شود. سیستم‌هایی که از شبکه‌های عصبی مصنوعی استفاده می‌کنند، تأثیر زیادی داشته‌اند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می شود. سایر تکنیک های مورد استفاده برای تشخیص ناهنجاری ها شامل روش های داده کاوی ، روش های مبتنی بر دستور زبان و سیستم ایمنی مصنوعی است .

سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایه‌های فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه می‌کنند. سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایه‌های دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم می‌کنند.

تشخیص نفوذ مبتنی بر ناهنجاری در هر دو سطح شبکه و میزبان دارای چند کاستی است؛ یعنی نرخ مثبت کاذب بالا و توانایی فریب خوردن توسط یک حمله به درستی تحویل داده شده‌است. تلاش‌هایی برای پرداختن به این مسائل از طریق تکنیک‌های مورد استفاده توسط PAYL و MCPAD صورت گرفته‌است.

جستارهای وابسته

CrowdSec – یک سیستم تشخیص نفوذ مبتنی بر ناهنجاری مبتنی بر نرم‌افزار مشترک و رایگان (MIT) است.
Cfengine - "cfenvd" را می‌توان برای انجام " تشخیص ناهنجاری" استفاده کرد
تشخیص تغییر
تجزیه و تحلیل DNS
Hogzilla IDS – یک نرم‌افزار رایگان (GPL) سیستم تشخیص نفوذ مبتنی بر ناهنجاری است.
RRDtool – می‌تواند برای پرچم‌گذاری ناهنجاری‌ها پیکربندی شود
Sqrrl - شکار تهدید بر اساس NetFlow و سایر داده‌های جمع‌آوری شده

منابع

خطای یادکرد: برچسپ <ref> که با نام «Wang2004» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref> که با نام «Khalkhali, Azmi, Azimpour-Kivi, and Khansari» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref> که با نام «Sasha2000» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref> که با نام «Beaver2014» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref> که با نام «Perdisci2008» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref> که با نام «Alonso2017» درون <references> تعریف شده، در متن قبل از آن استفاده نشده است.

@@ خط ۱: / خط ۱: @@
 '''سیستم تشخیص نفوذ مبتنی بر ناهنجاری'''، یک [[سامانه تشخیص نفوذ|سیستم تشخیص نفوذ]] برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقه‌بندی آن به عنوان ''عادی'' یا ''غیرعادی'' است. این طبقه‌بندی به جای الگوها یا [[امضا]]ها بر اساس [[رهیافت آنی|موارد اکتشافی]] یا موارد بر اساس الگوها است و تلاش می‌کند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستم‌های مبتنی بر امضا است که فقط می‌توانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شده‌است.
-به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستم‌های تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته می‌شود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه می‌شود). ناهنجاری‌ها به روش‌های مختلفی شناسایی می‌شوند که اغلب با تکنیک [[هوش مصنوعی|های هوش مصنوعی]] انجام می‌شود. سیستم‌هایی که از [[شبکه عصبی|شبکه‌های عصبی]] مصنوعی استفاده می‌کنند، تأثیر زیادی داشته‌اند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می‌شود. سایر تکنیک‌های مورد استفاده برای تشخیص ناهنجاری‌ها شامل روش‌های [[داده‌کاوی|داده کاوی]]، روش‌های مبتنی بر دستور زبان و [[سیستم ایمنی مصنوعی|سیستم ایمنی مصنوعی است]].
+به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستم‌های تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته می‌شود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه می‌شود).  ناهنجاری ها به روش های مختلفی شناسایی می شوند که اغلب با تکنیک [[هوش مصنوعی|های هوش مصنوعی]] انجام می شود. سیستم‌هایی که از [[شبکه عصبی|شبکه‌های عصبی]] مصنوعی استفاده می‌کنند، تأثیر زیادی داشته‌اند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می شود.  سایر تکنیک های مورد استفاده برای تشخیص ناهنجاری ها شامل روش های [[داده‌کاوی|داده کاوی]] ، روش های مبتنی بر دستور زبان و [[سیستم ایمنی مصنوعی|سیستم ایمنی مصنوعی است]] .
 سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایه‌های فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه می‌کنند. سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایه‌های دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم می‌کنند.
@@ خط ۱۷: / خط ۱۷: @@
 == منابع ==
+{{پانویس|refs=<ref name="Wang2004">{{cite journal|last=Wang|first=Ke|title=Anomalous Payload-Based Network Intrusion Detection|doi=10.1007/978-3-540-30143-1_11|journal=Recent Advances in Intrusion Detection|volume=3224|pages=203–222|publisher=Springer Berlin|accessdate=2011-04-22|url=http://sneakers.cs.columbia.edu/ids/publications/RAID4.PDF|archive-url=https://web.archive.org/web/20100622182127/http://sneakers.cs.columbia.edu/ids/publications/RAID4.PDF|archive-date=2010-06-22|url-status=dead|series=Lecture Notes in Computer Science|year=2004|isbn=978-3-540-23123-3}}</ref>
+<ref name="Khalkhali, Azmi, Azimpour-Kivi, and Khansari">{{cite web|last1=Khalkhali|first1=I|last2=Azmi|first2=R|last3=Azimpour-Kivi|first3=M|last4=Khansari|first4=M|title=Host-based web anomaly intrusion detection system, an artificial immune system approach|website=ProQuest}}</ref>
+<ref name  = "Sasha2000">[http://phrack.org/issues/56/11.html A strict anomaly detection model for IDS, Phrack 56 0x11, Sasha/Beetle]</ref>
+<ref name="Beaver2014">{{cite web|last1=Beaver|first1=K|title=Host-based IDS vs. network-based IDS: Which is better?|website=Tech Target, Search Security}}</ref>
+<ref name="Perdisci2008">{{cite journal|last=Perdisci|first=Roberto|author2=Davide Ariu |author3=Prahlad Fogla |author4=Giorgio Giacinto |author5=Wenke Lee |title=McPAD : A Multiple Classifier System for Accurate Payload-based Anomaly Detection|journal=Computer Networks |year=2009|volume=5|issue=6|pages=864–881|url=http://roberto.perdisci.com/publications/publication-files/McPAD-revision1.pdf?attredirects=0|doi=10.1016/j.comnet.2008.11.011}}</ref>
+<ref name="Alonso2017">{{cite web|last1=Alonso|first1=Samuel|title=Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement)|url=https://cyber-ir.com/2017/04/19/cyber-threat-hunting-with-sqrrl-from-beaconing-to-lateral-movement|accessdate=2019-08-17}}</ref>}}
 [[رده:امنیت شبکه‌های رایانه‌ای]]
 [[رده:یادکردهای وب بدون نشانی اینترنتی]]