0

سیستم تشخیص نفوذ snort

342 بازدید
سیستم تشخیص نفوذ snort

سیستم تشخیص نفوذ snort

سیستم تشخیص نفوذ snort: در مقالات قبلی ساختار IDS مورد بررسی قرار گرفت (سیستم تشخیص نفوذ قسمت اول و دوم). .همان طور که بیان شد سیستم‌های تشخیص نفوذ شبکه به‌منظور امنیت کامل در شبکه‌های مختلف به‌طور گستره مورداستفاده قرار گرفته و از اهمیت بسیار بالایی برخوردار هستند. این سیستم­ ها­ بر اساس نحوه تشخیص نفوذ به دو دسته تقسیم می ­شوند: سیستم تشخیص نفوذ مبتنی بر ناهنجاری و سیستم تشخیص نفوذ مبتنی بر امضا.

 در نوع اول حملات و تهدید­ها توسط مقایسه رویداد­های جاری با وقایع عادی از پیش تعریف شده، تشخیص داده می‌شوند. در حالی که در نوع دوم نفوذها با مقایسه سرآیند و محتوای بسته با قوانین از پیش ساخته شده­ ی موجود در یک پایگاه داده، شناسایی می­ شوند.

سیستم ­های تشخیص نفوذ شبکه مبتنی بر امضا به دلیل نرخ هشدار پایین نسبت به نوع مبتنی بر ناهنجاری از عمومیت بالاتری برخوردار هستند.نرم‌افزار snort یک سیستم تشخیص نفوذ شبکه مبتنی بر امضا است که به دلیل رایگان، متن باز و سبک بودن مورد استفاده بسیاری از کاربران قرار می­ گیرد. از این رو در ادامه به بررسی این سیستم می پردازیم.

 

 Snort

یک بسته نرم‌افزاری تشخیص و جلوگیری از نفوذ مبتنی بر شبکه و امضا است که به دلیل رایگان، سبک و متن‌باز بودن، امکان به‌کارگیری و تجزیه‌وتحلیل یک نرم‌افزار تشخیص نفوذ واقعی را به کاربران می‌دهد. به‌طورکلی سیستم تشخیص نفوذ snort برای تجزیه‌وتحلیل ترافیک بلادرنگ در مقابل حملات مختلف بر اساس مجموعه‌ای از قوانین از پیش تعریف‌شده، استفاده می‌شود. قوانین snort می‌تواند به هر زبانی نوشته شود و به‌راحتی قابل ‌تغییر می‌باشد.

سیستم تشخیص نفوذ snort می‌تواند در سه حالت تنظیم گردد:

  • حالت شنود

در این حالت snort بسته‌ها را از شبکه خوانده و سپس نمایش می‌دهد. می‌توان طوری تنظیم کرد که تنها سرآیند بسته یا تمام بسته که شامل سرآیند و محتوای بسته است، نمایش داده شود.

  • ثبت بسته‌ها

در این حالت snort می‌تواند برای ثبت تمام ترافیک شبکه درون یک فایل استفاده شود. می‌توان طوری تنظیم گردد که ترافیک برای زیر شبکه‌ها و یا پورت‌های خاصی ثبت شود.

  • سیستم تشخیص نفوذ شبکه

پیچیده‌ترین حالت است که جهت تطبیق بسته‌های شبکه با مجموعه قوانین تعریف‌شده بکار گرفته می­ شود. در صورت تطبیق و درنتیجه تشخیص نفوذ اقداماتی شامل از بین بردن بسته، ارسال هشدار و عبور بسته انجام می‌گیرد.

 

معماری سیستم تشخیص نفوذ Snort

همان‌طور که در شکل 1 نشان داده‌شده، سیستم تشخیص نفوذ snort از چهار جز اصلی تشکیل‌شده است:

  • شنود­کننده داده (Data sniffer)
  • پیش‌پردازشگر (Preprocessor)
  • موتور تشخیص (Detection Engine)
  • سیستم ثبت و هشدار (Log System and Alert System)

 

معماری سیستم تشخیص نفوذ  snort

    شکل 1 معماری سیستم تشخیص نفوذ شبکه snort

شنود­کننده داده

تمامی بسته‌ها از انواع مختلف واسط‌های شبکه (اترنت، SLIP، PPP و سایر) ضبط شده و برای فاز پیش‌پردازش آماده خواهند شد. برای گرفتن این بسته ها، واسط شبکه  باید در حالت Promiscuous(بی قاعده) قرار داشته باشد تا همه بسته ها را بتواند ضبط کند. شنود کننده می‌تواند به‌صورت نرم‌افزاری و یا سخت‌افزاری باشد.

 

 پیش ­پردازشگر

پیش ­پردازشگر قطعات و یا افزونه‌هایی هستند که می‌توانند به‌منظور تغییر و سازمان‌دهی، تجزیه‌وتحلیل آماری و بررسی و شناسایی رفتارهای خاص (که بر مبنای قوانین نیستند) بسته‌های خام دریافت شده از شنود کننده و همچنین انجام تشخیص اولیه به منظور کاهش بار پردازشی موتور تشخیص، با snort ترکیب شوند. سپس بسته‌ها جهت بررسی به موتور تشخیص ارسال می‌گردند. 

موتور تشخیص

موتور تشخیص، قسمت اصلی از سیستم تشخیص نفوذ snort است که پس از دریافت بسته‌ها از پیش پردازشگر، آن‌ها را با مجموعه‌ای از قوانین snort تطبیق می‌دهد و در صورت تطبیق، آن بسته را به قسمت سیستم ثبت و هشدار ارسال می‌کند. موتور تشخیص جهت شناسایی نفوذ در یک بسته بکار گرفته می‌شود.

سیستم ثبت و هشدار دهی

عملکرد سیستم ثبت و هشدار به خروجی قسمت قبل وابسته است. درصورتی‌که داده‌ای در قسمت موتور تشخیص با یکی از قوانین مطابقت داشت، این قسمت فراخوانی شده تا هشداری ارسال گردد.

 

قوانین snort

مجموعه قوانین و امضا­ها نقش بسیار مهمی در کارایی یک سیستم تشخیص نفوذ شبکه ایفا می­ کنند. اکثر نفوذ­های شناخته شده دارای امضا و الگوهایی هستند که بر اساس آن­ها وجود و یا عدم وجود نفوذ­ها در بسته­ های دریافتی شناسایی می­ شوند. سیستم تشخیص نفوذ snort دارای مجموعه ای از قوانین حمله است که به منظور تشخیص نفوذ در ترافیک ورودی بکار گرفته می­ شوند. این قوانین به هنگام جستجو خط به خط خوانده شده سپس هر بسته جهت بررسی با این مجموعه قوانین مقایسه می­ گردد.

 

اساساً ساختار یک قانون سیستم تشخیص نفوذ شبکه مبتنی بر امضا دارای دو جز اصلی است قسمت سرآیند  (Rule header)  و قسمت اختیاری قانون(Rule option)  که در شکل 2 نشان داده شده است.

ساختار یک قانون سیستم تشخیص نفوذ  snort

                            شکل 2-ساختار یک قانون سیستم تشخیص نفوذ شبکه مبتنی بر امضا

 

هر قانون با یک عمل آغاز می­ گردد که در صورت تطبیق آن قانون با محتوای بسته، آن عمل اجرا می گردد. قسمت اختیاری یک قانون نیز به دسته­ های عمومی تشخیص محتوا و تشخیص غیر محتوا تقسیم می ­شوند. دسته ­­های تشخیص محتوا و تشخیص غیر محتوا دارای برخی کلمات کلیدی هستند که مقادیر آن­ها می ­توانند موجب افزایش دقت تشخیص نفوذ گردد.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=14128
اشتراک گذاری:
آیلا افشاری
مطالب بیشتر
برچسب ها:

نظرات

0 نظر در مورد سیستم تشخیص نفوذ snort

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

هیچ دیدگاهی نوشته نشده است.