سیستم تشخیص نفوذ مبتنی بر ناهنجاری: تفاوت میان نسخهها
بدون خلاصۀ ویرایش |
|||
خط ۱: | خط ۱: | ||
'''سیستم تشخیص نفوذ مبتنی بر ناهنجاری'''، یک [[سامانه تشخیص نفوذ|سیستم تشخیص نفوذ]] برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقهبندی آن به عنوان ''عادی'' یا ''غیرعادی'' است. این طبقهبندی به جای الگوها یا [[امضا]]ها بر اساس [[رهیافت آنی|موارد اکتشافی]] یا موارد بر اساس الگوها است و تلاش میکند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستمهای مبتنی بر امضا است که فقط میتوانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شدهاست. |
'''سیستم تشخیص نفوذ مبتنی بر ناهنجاری'''، یک [[سامانه تشخیص نفوذ|سیستم تشخیص نفوذ]] برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقهبندی آن به عنوان ''عادی'' یا ''غیرعادی'' است. این طبقهبندی به جای الگوها یا [[امضا]]ها بر اساس [[رهیافت آنی|موارد اکتشافی]] یا موارد بر اساس الگوها است و تلاش میکند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستمهای مبتنی بر امضا است که فقط میتوانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شدهاست. |
||
به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستمهای تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته میشود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه میشود). |
به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستمهای تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته میشود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه میشود). ناهنجاری ها به روش های مختلفی شناسایی می شوند که اغلب با تکنیک [[هوش مصنوعی|های هوش مصنوعی]] انجام می شود. سیستمهایی که از [[شبکه عصبی|شبکههای عصبی]] مصنوعی استفاده میکنند، تأثیر زیادی داشتهاند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می شود. سایر تکنیک های مورد استفاده برای تشخیص ناهنجاری ها شامل روش های [[دادهکاوی|داده کاوی]] ، روش های مبتنی بر دستور زبان و [[سیستم ایمنی مصنوعی|سیستم ایمنی مصنوعی است]] . |
||
سیستمهای تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایههای فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه میکنند. سیستمهای تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایههای دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم میکنند. |
سیستمهای تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایههای فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه میکنند. سیستمهای تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایههای دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم میکنند. |
||
خط ۱۷: | خط ۱۷: | ||
== منابع == |
== منابع == |
||
{{پانویس|refs=<ref name="Wang2004">{{cite journal|last=Wang|first=Ke|title=Anomalous Payload-Based Network Intrusion Detection|doi=10.1007/978-3-540-30143-1_11|journal=Recent Advances in Intrusion Detection|volume=3224|pages=203–222|publisher=Springer Berlin|accessdate=2011-04-22|url=http://sneakers.cs.columbia.edu/ids/publications/RAID4.PDF|archive-url=https://web.archive.org/web/20100622182127/http://sneakers.cs.columbia.edu/ids/publications/RAID4.PDF|archive-date=2010-06-22|url-status=dead|series=Lecture Notes in Computer Science|year=2004|isbn=978-3-540-23123-3}}</ref> |
|||
<ref name="Khalkhali, Azmi, Azimpour-Kivi, and Khansari">{{cite web|last1=Khalkhali|first1=I|last2=Azmi|first2=R|last3=Azimpour-Kivi|first3=M|last4=Khansari|first4=M|title=Host-based web anomaly intrusion detection system, an artificial immune system approach|website=ProQuest}}</ref> |
|||
<ref name = "Sasha2000">[http://phrack.org/issues/56/11.html A strict anomaly detection model for IDS, Phrack 56 0x11, Sasha/Beetle]</ref> |
|||
<ref name="Beaver2014">{{cite web|last1=Beaver|first1=K|title=Host-based IDS vs. network-based IDS: Which is better?|website=Tech Target, Search Security}}</ref> |
|||
<ref name="Perdisci2008">{{cite journal|last=Perdisci|first=Roberto|author2=Davide Ariu |author3=Prahlad Fogla |author4=Giorgio Giacinto |author5=Wenke Lee |title=McPAD : A Multiple Classifier System for Accurate Payload-based Anomaly Detection|journal=Computer Networks |year=2009|volume=5|issue=6|pages=864–881|url=http://roberto.perdisci.com/publications/publication-files/McPAD-revision1.pdf?attredirects=0|doi=10.1016/j.comnet.2008.11.011}}</ref> |
|||
<ref name="Alonso2017">{{cite web|last1=Alonso|first1=Samuel|title=Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement)|url=https://cyber-ir.com/2017/04/19/cyber-threat-hunting-with-sqrrl-from-beaconing-to-lateral-movement|accessdate=2019-08-17}}</ref>}} |
|||
[[رده:امنیت شبکههای رایانهای]] |
[[رده:امنیت شبکههای رایانهای]] |
||
[[رده:یادکردهای وب بدون نشانی اینترنتی]] |
[[رده:یادکردهای وب بدون نشانی اینترنتی]] |
نسخهٔ ۷ مارس ۲۰۲۲، ساعت ۰۴:۳۴
سیستم تشخیص نفوذ مبتنی بر ناهنجاری، یک سیستم تشخیص نفوذ برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقهبندی آن به عنوان عادی یا غیرعادی است. این طبقهبندی به جای الگوها یا امضاها بر اساس موارد اکتشافی یا موارد بر اساس الگوها است و تلاش میکند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستمهای مبتنی بر امضا است که فقط میتوانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شدهاست.
به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستمهای تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته میشود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه میشود). ناهنجاری ها به روش های مختلفی شناسایی می شوند که اغلب با تکنیک های هوش مصنوعی انجام می شود. سیستمهایی که از شبکههای عصبی مصنوعی استفاده میکنند، تأثیر زیادی داشتهاند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می شود. سایر تکنیک های مورد استفاده برای تشخیص ناهنجاری ها شامل روش های داده کاوی ، روش های مبتنی بر دستور زبان و سیستم ایمنی مصنوعی است .
سیستمهای تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایههای فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه میکنند. سیستمهای تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایههای دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم میکنند.
تشخیص نفوذ مبتنی بر ناهنجاری در هر دو سطح شبکه و میزبان دارای چند کاستی است؛ یعنی نرخ مثبت کاذب بالا و توانایی فریب خوردن توسط یک حمله به درستی تحویل داده شدهاست. تلاشهایی برای پرداختن به این مسائل از طریق تکنیکهای مورد استفاده توسط PAYL و MCPAD صورت گرفتهاست.
جستارهای وابسته
- CrowdSec – یک سیستم تشخیص نفوذ مبتنی بر ناهنجاری مبتنی بر نرمافزار مشترک و رایگان (MIT) است.
- Cfengine - "cfenvd" را میتوان برای انجام " تشخیص ناهنجاری" استفاده کرد
- تشخیص تغییر
- تجزیه و تحلیل DNS
- Hogzilla IDS – یک نرمافزار رایگان (GPL) سیستم تشخیص نفوذ مبتنی بر ناهنجاری است.
- RRDtool – میتواند برای پرچمگذاری ناهنجاریها پیکربندی شود
- Sqrrl - شکار تهدید بر اساس NetFlow و سایر دادههای جمعآوری شده
منابع
خطای یادکرد: برچسپ <ref>
که با نام «Wang2004» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref>
که با نام «Khalkhali, Azmi, Azimpour-Kivi, and Khansari» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref>
که با نام «Sasha2000» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref>
که با نام «Beaver2014» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref>
که با نام «Perdisci2008» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.
خطای یادکرد: برچسپ <ref>
که با نام «Alonso2017» درون <references>
تعریف شده، در متن قبل از آن استفاده نشده است.