سیستم تشخیص نفوذ یا IDS چیست؟ آشنایی با Intrusion Detection System و انواع آن

0 221
۵/۵ - (۱۴ امتیاز)

فهرست

سیستم تشخیص نفوذ (IDS) چیست؟

سیستم تشخیص نفوذ یا Intrusion Detection System که به اختصار به آن IDS گفته می‌شود، به سیستمی گفته می‌شود که ترافیک شبکه را رصد می‌کند و به دنبال تهدیدات و رفتارهای مشکوک می‌گردد. IDS به محض مشاهده این تهدیدات یا رفتارهای مشکوک، اقدام به ارسال هشدار برای تیم فنی می‌کند. سپس تیم فنی به بررسی هشدار می‌پردازند.

اکثر سیستم‌های تشخیص نفوذ، به این شکل عمل می‌کنند. یعنی ترافیک شبکه را رصد می‌کنند و به محض مشاهده رفتار مشکوک اقدام به هشدار دادن می‌کنند. اما برخی از سیستم‌ها پیشرفته‌تر هستند. یعنی علاوه بر اعلام هشدار، توانایی مسدود کردن ترافیک مشکوک را هم دارند. به این سیستم‌ها IPS یا Intrusion Prevention System گفته می‌شود.

سیستم‌های تشخیص نفوذ عموما بصورت یک ابزار نرم‌افزاری هستند که درون سازمان‌ها مستقر می‌شوند. البته علاوه بر این نوع دیگری از IDSها هستند که برروی زیرساخت‌های ابری پیاده‌سازی می‌شوند. این نوع، داده‌ها و منابعی از سازمان‌ها که برروی زیرساخت‌های ابری سوار شده‌اند را مراقبت می‌کنند. یک نمونه از معروف‌ترین سیستم‌های تشخیص نفوذ بنام Snort را در ویدیو آموزش Snort بررسی کردیم.

انواع سیستم های تشخیص نفوذ

سیستم‌های تشخیص نفوذ برای انواع مختلفی دارند. با توجه به استفاده‌ای که قرار از آن‌ها شود، از مورد مطلوب استفاده می‌شود. در اینجا معروف‌ترین انواع این سیستم‌ها را نام می‌بریم.

سیستم تشخیص نفوذ شبکه (Network Intrusion Detection System)

سیستم تشخیص نفوذ شبکه یا Network Intrusion Detection System که به اختصار به آن NIDS گفته می‌شود، در نقاط استراتژیک یک سازمان مستقر می‌شود. پس از استقرار، این سیستم اقدام به رصد کردن ترافیک ورودی و خروجی شبکه می‌کند. سپس با رصد کردن شبکه، ترافیک‌های مشکوکی که در حال وارد شدن یا خارج شدن هستند را شناسایی می‌کند.

سیستم تشخیص نفوذ میزبان (Host Intrusion Detection System)

سیستم تشخیص نفوذ میزبان یا Host Intrusion Detection System که به اختصار به آن HIDS گفته می‌شود، برروی دستگاه‌های درون شبکه نصب می‌شود. این سیستم توانایی تشخیص پکت‌های مخربی که به سیستم می‌رسند را دارد. این سیستم‌ها همچنین می‌توانند تهدیدات مخربی که درون میزبان رخ می‌دهد را شناسایی کنند تا از گسترش آلودگی جلوگیری کنند.

سیستم تشخیص نفوذ مبتنی بر امضا (Signature-based Intrusion Detection System)

سیستم تشخیص نفوذ مبتنی بر امضا یا Signature-based Intrusion Detection System که به اختصار به آن SIDS گفته می‌شود، سیستمی است که تمام شبکه و دستگاه‌های درون شبکه یک سازمان را رصد می‌کند. این سیستم یک دیتابیس مرجع از امضای حملاتی که قبلا انجام شده‌اند دارد. حین رصد کردن، رفتار ترافیک ورودی خروجی را چک می‌کند تا در صورت مشاهده امضایی (Signature) مشابه حملات درون آن دیتابیس، هشدار بدهد.

سیستم تشخیص نفوذ مبتنی بر ناهنجاری (Anomaly-based Intrusion Detection System)

سیستم تشخیص نفوذ مبتنی بر ناهنجاری یا Anomaly-based Intrusion Detection System که به اختصار به آن AIDS گفته می‌شود، همواره در حال رصد کردن ترافیک شبکه و مقایسه کردن آن با یک معیار اصلی می‌باشد. یعنی یک معیار اصلی به عنوان ترافیک عادی (Normal) تعریف می‌شود و AIDS همواره در حال بررسی ترافیک و مقایسه کردن آن با معیار اصلی می‌باشد تا رفتار غیرعادی احتمالی را تشخیص دهد. در این سیستم‌ها با استفاده از تکنیک‌های یادگیری ماشین (Machine Learning) می‌توان معیار اصلی برای ترافیک عادی را تشکیل داد تا در ادامه AIDS از آن تبعیت کند.

سیستم تشخیص نفوذ محیطی (Perimeter Intrusion Detection System)

سیستم تشخیص نفوذ محیطی یا Perimeter Intrusion Detection System که به اختصار به آن PIDS گفته می‌شود، سیستمی است که در نقاط مرزی شبکه مستقر می‌شود و تهدیداتی که زیرساخت‌های حیاتی در معرض آن‌ها هستند را تشخیص می‌دهد. این سیستم‌ها می‌تواند شامل نصب دوربین مدار بسته، سنسورهای حرکتی، سنسور دما و … باشند که در نقاط مرزی قرار می‌گیرند تا از امنیت فیزیکی تجهیزات مراقبت کنند.

سیستم تشخیص نفوذ مبتنی بر ماشین مجازی (Virtual Machine-based Intrusion Detection System)

سیستم تشخیص نفوذ مرزی یا Virtual Machine-based Intrusion Detection System که به اختصار به آن VMIDS گفته می‌شود، سیستمی است که به ترکیبی از سیستم‌های تشخیص نفوذ شبکه، محیطی و میزبان شباهت دارد ولی بصورت از راه دور و برروی یک ماشین مجازی مستقر شده‌اند. این سیستم‌ها جدید هستند و یکی از مزیت‌های آن‌ها سادگی نصب و راه‌اندازی می‌باشد.

سیستم تشخیص نفوذ مبتنی بر پشته (Stack-based Intrusion Detection System)

سیستم تشخیص نفوذ مبتنی بر پشته یا Stack-based Intrusion Detection System که به اختصار به آن SBIDS گفته می‌شود، نوعی از سیستم‌ها هستند که با پروتکل TCP/IP در سازمان‌ها یکپارچه می‌شوند و به عنوان یک پروتکل ارتباطی شخصی از آن استفاده می‌شود. این سیستم‌ها کمک می‌کنند تا تهدیدات قبل از رسیدن به لایه‌های بالاتر رصد شوند.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ