در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

سیستم های جلوگیری از نفوذ سیسکو قسمت 5 : متدهای بررسی ترافیک

متدهای انالیز ترافیک :
  • Stateful Content Matching : در این حالت کل ترافیک مربوط به یک Session مورد بازرسی قرار می گیرد ، IPS در اینجا تمام بسته های مربوط به یک Session را در حافظه خود Reassemble می کند که باعث می شود روش هایی که کدهای مخرب خود را روی مجموعه ای از بسته ها پخش می کنند شناسایی شود.
  • Protocol Decoding : در این حالت IPS استاندارد پروتکل را می شناسد و ترافیک هر پروتکل را با این استاندارد بررسی می کند تا در صورت آلوده بودن انرا شناسایی کند به طور مثال اندازه URL در پروتکل Http نباید از استاندارد بزرگتر باشد و یا از String های غیر مجاز در بسته استفاده نشده باشد.
  • Traffic Correlation : روش هایی مانند ping کردن و اسکن کردن پورت ها جهت شناسایی دستگاه و پورت های باز در شبکه
I
سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت پنجم- متدهای بررسی ترافیک
PS در این حالت با جمع کردن و بررسی این ترافیک ها که به مقصدهای مختلف است از این حمله مطلع می شود و از ان جلوگیری می کند.
نکته: معمولا Wormها برای انتشار خود از این روش استفاده می کنند.
  • Rate Analysis : در این روش Rate یا نرخ ترافیک ارسالی به یک مقصد خاص یا سرویس خاص مورد ارزیابی قرار می گیرد و اگر از یک میزان مشخص فراتر رفت احتمال وقوع یک حمله وجود دارد به طور مثال تعداد pingها یا connectionها در یک ثانیه نباید از یک حد مشخص بیشتر شود.
  • Packet Header Matching : در این روش Header بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Packet Content Matching : در این روش دیتا بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Statistical Modeling : در این روش ترافیک به صورت آماری مورد بررسی قرار می گیرد به طور مثال ترافیک مربوط به وب ، ایمیل یا FTP چقدر است یا ترافیک به یک آدرس خاص یا ترافیک از یک آدرس خاص چقدر است و با بدست آوردن این آمار از سالم بودن ترافیک اطمینان حاصل می کنیم.
  • Event Correlation : در این روش با استفاده از جمع کردن و بررسی چندین Event در کنار هم و با مقایسه انها با Signatureخود به یک Event جدید می رسد و متوجه یک حمله می شود.

نکته : روش های Stateful Content Matching و Protocol Decoding و Event Correlation و Packet Header Matching و Packet Content Matching جزء دسته Signature Base هستند.
نکته : روش های Statistical Modeling و Traffic Correlation و Rate Analysis جزء دسته Anomaly Base هستند.

نویسنده :جعفر قنبری شوهانی
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#انالیز_ترافیک
عنوان
1 سیستم های جلوگیری از نفوذ سیسکو قسمت 1 : معرفی ماژول ها رایگان
2 سیستم های جلوگیری از نفوذ سیسکو قسمت 2 : آماده سازی سنسورها رایگان
3 سیستم های جلوگیری از نفوذ سیسکو قسمت 3 : آماده سازی پیشرفته سنسور رایگان
4 سیستم های جلوگیری از نفوذ سیسکو قسمت 4 : دستورات ابتدایی رایگان
5 سیستم های جلوگیری از نفوذ سیسکو قسمت 5 : متدهای بررسی ترافیک رایگان
6 سیستم های جلوگیری از نفوذ سیسکو قسمت 6 : دور زدن IPS و جلوگیری رایگان
7 سیستم های جلوگیری از نفوذ سیسکو قسمت 7 : اصطلاحات معمول رایگان
8 سیستم های جلوگیری از نفوذ سیسکو قسمت 8 : Signature و Action رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....