سیستم تشخیص نفوذ مبتنی بر ناهنجاری

سیستم تشخیص نفوذ مبتنی بر ناهنجاری (به انگلیسی: Anomaly-based intrusion detection system) یک سیستم تشخیص نفوذ برای تشخیص نفوذ شبکه و کامپیوتر و سوء استفاده از طریق نظارت بر فعالیت سیستم و طبقه‌بندی آن به عنوان عادی یا غیرعادی است. این طبقه‌بندی به جای الگوها یا امضاها بر اساس موارد اکتشافی یا موارد بر اساس الگوها است و تلاش می‌کند تا هر نوع سوء استفاده ای را که خارج از عملکرد عادی سیستم است، شناسایی کند. این برخلاف سیستم‌های مبتنی بر امضا است که فقط می‌توانند حملاتی را شناسایی کنند که قبلاً برای آنها امضا ایجاد شده‌است.^[۱]

به منظور شناسایی مثبت ترافیک حمله، سیستم باید به سیستم آموزش داده شود که فعالیت عادی سیستم را تشخیص دهد. دو فاز اکثر سیستم‌های تشخیص ناهنجاری شامل مرحله آموزش (که در آن پروفایلی از رفتارهای عادی ساخته می‌شود) و مرحله آزمایش (که در آن ترافیک فعلی با نمایه ایجاد شده در مرحله آموزش مقایسه می‌شود). ناهنجاری‌ها به روش‌های مختلفی شناسایی می‌شوند که اغلب با تکنیک های هوش مصنوعی انجام می‌شود. سیستم‌هایی که از شبکه‌های عصبی مصنوعی استفاده می‌کنند، تأثیر زیادی داشته‌اند. روش دیگر این است که با استفاده از یک مدل ریاضی دقیق، استفاده عادی از سیستم را تعریف کنیم و هرگونه انحراف از آن را به عنوان یک حمله علامت گذاری کنیم. این به عنوان تشخیص دقیق ناهنجاری شناخته می‌شود. سایر تکنیک‌های مورد استفاده برای تشخیص ناهنجاری‌ها شامل روش‌های داده کاوی، روش‌های مبتنی بر دستور زبان و سیستم ایمنی مصنوعی است.^[۲]

سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر شبکه اغلب یک خط دفاعی دوم را برای شناسایی ترافیک غیرعادی در لایه‌های فیزیکی و شبکه پس از عبور از دیوار آتش یا سایر وسایل امنیتی در مرز شبکه ارائه می‌کنند. سیستم‌های تشخیص نفوذ غیرعادی مبتنی بر میزبان یکی از آخرین لایه‌های دفاعی هستند و در نقاط انتهایی رایانه قرار دارند. آنها امکان حفاظت دقیق و دانه ای از نقاط انتهایی را در سطح کاربرد فراهم می‌کنند.^[۳]

تشخیص نفوذ مبتنی بر ناهنجاری در هر دو سطح شبکه و میزبان دارای چند کاستی است؛ یعنی نرخ مثبت کاذب بالا و توانایی فریب خوردن توسط یک حمله به درستی تحویل داده شده‌است. تلاش‌هایی برای پرداختن به این مسائل از طریق تکنیک‌های مورد استفاده توسط PAYL و MCPAD صورت گرفته‌است.^[۲]

جستارهای وابسته

CrowdSec – یک سیستم تشخیص نفوذ مبتنی بر ناهنجاری مبتنی بر نرم‌افزار مشترک و رایگان (MIT) است.
Cfengine - "cfenvd" را می‌توان برای انجام " تشخیص ناهنجاری" استفاده کرد
تشخیص تغییر
تجزیه و تحلیل DNS
Hogzilla IDS – یک نرم‌افزار رایگان (GPL) سیستم تشخیص نفوذ مبتنی بر ناهنجاری است.
RRDtool – می‌تواند برای پرچم‌گذاری ناهنجاری‌ها پیکربندی شود
Sqrrl - شکار تهدید بر اساس NetFlow و سایر داده‌های جمع‌آوری شده^[۴]

منابع

↑ Wang, Ke (2004). "Anomalous Payload-Based Network Intrusion Detection" (PDF). Recent Advances in Intrusion Detection. Lecture Notes in Computer Science. Springer Berlin. 3224: 203–222. doi:10.1007/978-3-540-30143-1_11. ISBN 978-3-540-23123-3. Archived from the original (PDF) on 2010-06-22. Retrieved 2011-04-22.
↑ ^۲٫۰ ^۲٫۱ A strict anomaly detection model for IDS, Phrack 56 0x11, Sasha/Beetle
↑ Beaver, K. "Host-based IDS vs. network-based IDS: Which is better?". Tech Target, Search Security. {{cite web}}: Missing or empty |url= (help)
↑ Alonso, Samuel. "Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement)". Archived from the original on 31 July 2021. Retrieved 2019-08-17.

[Wang2004-1] Wang, Ke (2004). "Anomalous Payload-Based Network Intrusion Detection" (PDF). Recent Advances in Intrusion Detection. Lecture Notes in Computer Science. Springer Berlin. 3224: 203–222. doi:10.1007/978-3-540-30143-1_11. ISBN 978-3-540-23123-3. Archived from the original (PDF) on 2010-06-22. Retrieved 2011-04-22.

[Sasha2000-2] ۲٫۰ ^۲٫۱ A strict anomaly detection model for IDS, Phrack 56 0x11, Sasha/Beetle

[Beaver2014-3] Beaver, K. "Host-based IDS vs. network-based IDS: Which is better?". Tech Target, Search Security. {{cite web}}: Missing or empty |url= (help)

[Alonso2017-4] Alonso, Samuel. "Cyber Threat hunting with Sqrrl (From Beaconing to Lateral Movement)". Archived from the original on 31 July 2021. Retrieved 2019-08-17.

[۱]

[۲]

[۳]

[۴]