یک سیستم شناسایی نفوذ به دو شیوه در برابر نفوذ شناسایی شده قادر به پاسخگویی است. روش غیرفعال[۳۳]، که در آن سیستم شناسایی، تنها مدیر سیستم را از رویداد امنیتی پیش آمده آگاه می کند. روش فعال[۳۴]، کنترل سیستمی را که مورد حمله قرار گرفته در دست می گیرد و اعمالی از قبیل بیرون کردن کاربر از سیستم، قطع اتصال سیستم با شبکه، خاتمه دادن به پردازش های مشکوک و … را انجام می دهد. در ادامه به چگونگی این عملکرد دو روش به تفصیل آورده شده است:
روش غیرفعال
معمولترین واکنشی است که به بیشتر نفوذها در شبکه انجام میشود. در واقع واکنشهای غیرفعال سادهترین و راحتترین واکنش در برخورد با نفوذها برای پیاده سازی و توسعه هستند. استراتژیهای واکنشهای غیر فعال شامل موارد زیر است:
(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))
-
- ثبت وقایع[۳۵]: این روش شامل ضبط کردن کلیه رویدادهای شبکه است که اتفاق میافتند و همچنین چگونگی رخ دادن آنها را نیز نمایش میدهد. ثبت وقایع بایستی به شکلی اطلاعات را در اختیار مدیران قرار دهند که آنها بتوانند از طریق این دادهها ذات حمله و چگونگی به وقوع پیوستن آن را ارزیابی کنند. این اطلاعات بعدها میتوانند برای طراحی راهکارها برای مقابله با تهدیدات مورد استفاده قرار بگیرند.
-
- آگاه سازی[۳۶]: آگاه سازی در واقع ارتباطی است که از طریق آن اطلاعات مربوط به رویداد اتفاق افتاده به شخص مسئول آن ارسال میشود. این شامل هرگونه اطلاعاتی است که میتواند به مدیر سیستم کمک کند تا در مورد حادثه درک بهتری داشته باشد. اگر سیستم تشخیص نفوذ بصورت تمام وقت مشغول به فعالیت است، پیامها بر روی کنسول مدیریتی نمایش داده خواهد شد تا زمانیکه مسئول سیستم آنها را مشاهده و نظارت کند.
-
- چشم پوشی[۳۷]: چشم پوشی از حمله یک واکنش معمول در برابر حملات ناکارآمد است. برای مثال سیستم تشخیص نفوذ شما از بروز حمله از نوع حملات به وب سرور IIS به سیستمی گزارش میدهد که دارای وب سرور آپاچی میباشد، در این حالت نیازی به انجام هیچگونه عمل متقابلی نخواهد بود زیرا حمله بطور یقین ناکارآمد خواهد بود. خوب در چنین شرایطی با توجه که مطمئن هستیم که حملاتی که بر روی IIS انجام میشوند بر روی آپاچی موثر نخواهند بود، نیازی به صرف وقت و هزینه برای مقابله با آن وجود ندارد.
روش فعال
واکنش فعال بدین معناست که سیستم تشخیص نفوذ در مقابل حمله یا تهدید موجود عکس العمل نشان دهد. هدف واکنش فعال انجام دادن سریعترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است. این نوع از واکنشها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویدادها، خط مشیهای واضح و صریح تبیین شده و همچنین هوشیاری خاصی میباشند. واکنشهای فعال شامل عکس العملهایی هستند که در ادامه بصورت خلاصه با برخی از آنها آشنا خواهیم شد:
-
- خاتمه اتصال: در این حالت پس از تشخیص نفوذ اتصال میزبان مشکوک به شبکه را پایان می دهد.
-
- تغییر تنظیمات شبکه: اگر حملات بصورت دائمی از سمت یک آدرس مشخص انجام شود، سیستم تشخیص نفوذ این توانایی را دارا است که به فایروال یا مسیریاب شبکه دستور دهد که تمامی درخواستهای ارتباط و ترافیکی که از آدرس مشکوک به سمت سرور روانه میشود را قطع ارتباط و رد کند. این نوع دستوراتی که از سمت سیستم تشخیص نفوذ برای فایروالها یا مسیریابها صادر میشود هم میتواند بصورت دائمی اعمال شود و هم اینکه میتواند در دوره های زمانی معین شده اعمال گردند.
-
- فریب دادن[۳۸]: در این فرایند به مهاجم اینطور القاء میشود که حمله وی موفقیت آمیز بوده است، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی را به سمت یک سیستم که برای هک شدن – ظرف عسل [۳۹]– ساخته شده است هدایت میکند. این روش به مدیر سیستم این امکان را میدهد که بتواند بر روی مهاجم متمرکز شده و روشها و تکنیکهایی که مهاجم در حمله استفاده میکند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. پیاده سازی این فرایند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش میشود کار بسیار خطرناکی است. لیکن فریب دادن به شما این اجازه را میدهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید.
تصمیم گیری در مورد اینکه، سیستم شناسایی نفوذگر از چه روشی جهت نظارت، تحلیل و پاسخگویی استفاده کند به عوامل متعددی بستگی دارد. از جمله این عوامل میتوان به ویژگیها و نیازمندیهای کاربرد موردنظر، میزان اهمیت و حساسیت سیستم اطلاعاتی، سیاستهای امنیتی مدیران سیستم اطلاعاتی و … اشاره کرد. در عکس شماره ۱ خلاصه ای از دسته بندی ارائه شده از سیستم های شناسایی نفوذ در قالب عکس ارائه شده است.
دسته بندی سیستم های شناسایی نفوذ
در دهه اخیر با توجه به بالا رفتن سرعت شبکه های کامپیوتری، روش های نظارت و شناسایی مبتنی به جریان شبکه بسیار مورد توجه قرار گرفته اند. به طوری که تولید کنندگان قطعات و توسعه دهندگان شبکه های کامپیوتری، به استفاده از قطعاتی که استاندارد جریان شبکه را پشتیبانی می کنند تاکید دارند[۶]
در حوزه شبکه های کامپیوتری، تعریفات متفاوتی از جریان شبکه وجود دارد. بر اساس استاندارد IETF جریان شبکه عبارت است از مجموعه ای از بسته های داده در شبکه می باشد که در یک بازه زمانی تعریف شده از محل مورد بررسی عبور می کند. تمامی بسته های مرتبط با یک جریان شبکه دارای یک سری ویژگی های مشترک می باشند [۷ و ۸]. این ویژگی ها که به آنها شاخص های جریان نیز گفته می شود به طور عمومی شامل موارد زیر می باشند[۳]: