در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

روش های شناسایی ترافیک مخرب در شبکه توسط IPS/IDS

سنسور می تواند ترافیک مخرب را به روش های مختلفی شناسایی کند. زمانی که سنسور ترافیک را آنالیز می کند براساس مجموعه قوانینی که برای آن مشخص شده است به دنبال ترافیک مخرب می گردد. روش های مختلفی برای شناسایی ترافیک مخرب وجود دارد که به شرح زیر هستند :

  • Signature-based IPS/IDS
  • Policy-based IPS/IDS
  • Anomaly-based IPS/IDS
  • Reputation-based IPS/IDS

Signature-Based IPS/IDS


یک signature الگویی است که سنسور آنرا با ترافیک در حال عبور مقایسه می کند این الگوی می تواند درون یک بسته یا مجموعه ای از بسته ها یافت شود. یک سنسور هزاران signature را شامل می شود که توسط سیسکو ارائه شده اند. همه این signature ها به صورت پیش فرض فعال نیستند ولی برحسب نیاز می توانید آنها را فعال ، غیر فعال یا تغییر دهید و حتی براساس شرایط شبکه می توانید signature مورد نظر خود را بنویسید. به طور مثال حمله cross-site scripting را در نظر بگیرید که در آن مهاجم یه مقدار غیر متعارف در متغییرهای HTTP قرار می دهد و به این شکل دستورات مورد نظر خود را روی سایت اجرا می کند. سیسکو برای این مشکل signature در نظر گرفته است تا مقادیری که توسط کاربران در سایت وارد می شود در ابتدا کنترل و در صورت سالم بودن اجازه ارسال به سمت سرور را پیدا می کنند. یکی از نکات مهم در این رابطه این است که باید به صورت مرتب سنسور را آپدیت کنیم تا signature ها جدید را دریافت کند و توانایی مقابله با حملات جدید را پیدا کند. امروزه Signature-based IPS/IDS مهمترین روشی است که سنسورها از آن برای شناسایی ترافیک مخرب استفاده می کنند.

Policy-Based IPS/IDS


شناسایی ترافیک در این روش براساس سیاست های امنیتی شبکه شما مشخص می شود. به طور مثال سیاست های امنیتی سازمان شما اجازه استفاده از telnet را در یک بخش خاص از شبکه را نمی دهد. در نتیجه براساس این سیاست امنیتی شما یک rule تعریف می کنید و در آن مشخص می کنید اجازه عبور ترافیک با پورت 23 به سمت یک بخش خاص شبکه وجود ندارد و IPS با استفاده از این rule می تواند برای ما alert ایجاد کند و بسته های آنرا drop کند.

Anomaly-Based IPS/IDS


در این روش رفتار معمول شبکه در نظر گرفته می شود و غیر از این شرایط به عنوان رفتار غیر مجاز در نظر گرفته می شود. به طور مثال تعداد درخواست های TCP بدون پاسخ در واحد زمان مشخص می شود که به آن اتصالات نیمه باز (half-opened session) گفته می شود. اگر مقدار این اتصالات نیمه باز از مقدار مشخص شده بیشتر شود سنسور آنرا تشخیص می دهد و اقدام به تولید هشدار و drop کردن بسته می کند. سنسور با استفاده از این روش می تواند موفق به شناسایی worm ها شود و جلوی تکثیر آنرا بگیرد.

Reputation-Based IPS/IDS


این روش شناسایی براساس شهرت و خوشنامی انجام می گیرد. در این روش اطلاعات از تمام دستگاه های دنیا که در global correlation شرکت کرده اند جمع آوری می شود و سنسور ما می تواند از این اطلاعات استفاده کند ، این اطلاعات می تواند شامل IP های مسدود شده ، URLs , DNS domains و ... که به عنوان مبدا حمله شناسایی شده باشند. سرویس Global correlation توسط سیسکو به عنوان یک سرویس ابری مدیریت می شود.

روش های شناسایی ترافیک مخرب در شبکه توسط IPS/IDS

در اینجا مزایا و معایب این روش ها عنوان داده شده است :

Signature-based :


مزایا :

تنظیم و پیاده سازی آن ساده و آسان است. قابلیت تشخیص نام و نوع حمله وجود دارد. حملات شناسایی شده جدید به صورت خودکار به سنسور اضافه می شود.

معایب :

شناسایی حملات بر پایه signature است درنتیجه اگر برای یک حمله signature نداشته باشد قادر به شناسایی آن نیست. همچنین ممکن است شما مجبور به غیرفعال کردن برخی از signature ها شوید که باعث false positives می شوند. این روش نیاز دارد به صورت مرتب update شود تا signature های جدید را دریافت کند و به صورت موثر عمل کند.

Policy-based :


مزایا :

ساده و قابل اعتماد است. بسیار انعطاف پذیر است. می تواند جلوی حملات ناشناس را بگیرد.

معایب :

سیاست ها باید به صورت دستی ایجاد شوند درنتیجه باید دقیقا بدانید که می خواهید چه کاری کنید.

Anomaly-based :


مزایا :

شرایط نرمال به صورت خودکار تنظیم می شود ، قابلیت تشخیص worm را دارد ، قابلیت تشخیص حملات را دارد حتی اگر این یک حمله ناشناخته باشد.

معایب :

بدست آوردن شرایط نرمال در شبکه های بزرگ سخت است ، امکان بوجود آمدن false positives در زمان تغییر در شبکه وجود دارد.

Reputation-based :


مزایا :

اطلاعات براساس تجربه سایر دستگاه ها بدست می آید.

معایب :

نیاز دارد به صورت مرتب آپدیت شود و نیاز به شرکت در correlation process دارد.

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#سنسور_چیست #چگونه_ips__جلوی_حملات_را_می_گیرد #روش_های_شناسایی_ترافیک #روش_signature_based_ips #روش_policy-based_چیست
1 نظر

این نظر توسط jeffar در تاریخ سه شنبه, 3 مرداد 1396 حذف شده است.

دلیل: تمام مطالب سایت باید به زبان فارسی نوشته شود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....