IDS( ذوفن صیشت متسیس :13 سر - ce.sharif.educe.sharif.edu/courses/95-96/1/ce442-1/resources/root/Slides/DataNetSec... · ویفدرت کوس دان صیخوشت )False

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

(IDS)نفوذ سیستم تشخیص : 13درس

1 / 35


فهرست مطالب

مقدمه و تعاریف اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

2 / 35


سیستم تشخیص نفوذ

تشخیص نفوذ(ID): فرآینود ناوا ب ور وعوای د ددد د یو

شبکه و یا سیستم کوامییذتر د هتوک کشوو موذد د دنحورد د

.سیاسک ها دمنیتی

سیستم تشخیص نفذ(IDS): ی نرم دفزد وا عا ییوک تشوخیص

ه فعالیک ها غیرمجا یوا ناهنجوا (ودکنش) آشکا سا و پاسخ

.مد د طه ا سیست

ه عد 1980تحقیقاب و تذسعه آن د سال

3 / 35


IDSیک وظایف عمومی

سیستم و کا رشبکه ناا ب و تحییل فعالیک ها

حمالب شناخته شد منطبق ا تشخیص دلگذها

تحییل دلگذها فعالیک ناهنجا

4 / 35


از سیستم های تشخیص نفوذ استفاده دالیل

ثبک تتدیددب مذهذد رد ی سا مانتشخیص و

ا تشخیص د مردحل دولیه حمالبهیذگیر د کامل شدن

تکرد حمالب مشا ه ا آگاهی سانی د مذ د حمالب هیذگیر د

کشو شد

دتفاق دفتاد و نفذ ها حمالب دطالعاب مفید د ا آو هم

و شوو ک (هوا پوییر آسیبشناخک ) دمکان عیب یا ی سا فردهم

تصحیح عامل ها سبب شذند

5 / 35



مقدمه‌و‌تعاریف‌اولیه سیستم های و مشخصاترده بندی

تشخیص نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

6 / 35

35 / 7 امنیت داده و شبکه محمد صادق دوستی

در شبکه IDS سنسورآرایش قرارگیری


IDSمعماری یک

ها کنند ددد فردهم (Data Provider)

پردد ند پیش (Preprocessor)

تشخیصو تحییل مذتذ (Analysis & Detection Engine)

دهی پاسخ (Response)

ها ویدددنامه تردفی شبکه

فتا ها حمیه یا نرمال


رده بندی کلی سیستم های تشخیص نفوذ

سیستممعما

سیستم تشخیص نفذ

تحییل وش

منب دطالعاب

ه نفذ ودکنش

تحییل بند مان

سذءدستفاد تشخیص

ناهنجا تشخیص

فعال

منفعل

د نگی

دو د

متمرکز

تذ ی شد

کا رد مبتنی ر رنامه

میز انمبتنی ر

شبکهمبتنی ر


آوری اطالعات جمع

عمییاب هم آو ددد د ی منب دطالعواتی و تحذیول آنتوا وه

مذتذ تحییلپردد ند و پیش

مبتنی ر شبکه (NIDS)

میزباننی بر مبت (HIDS:)

ممیز سیستم عاملدنباله ها (Audit Trail) ویدددناموه هوا

(Logs)

کا رد رنامه مبتنی ر

وب ویدددنامه پایگا ددد ها ویدددنامه کا گزد

10 / 35


(ادامه)آوری اطالعات جمع

مبتنی ر شبکه تشخیص نفذ

امزدی:

عا ییک ناا ب ر ی شبکه ز گ

عدم تددخل ا عمیکرد معمذلی شبکه

ددشته شدن د دید متاهمان عا ییک مخفی نگه

معایب:

عدم عمیکرد صحیح د تردفی سنگین

عدم تذدنایی د تحییل دطالعاب مز شد( مانندVPN)

11 / 35


(ادامه)آوری اطالعات جمع

ناا ب مبتنی ر میز ان

امزدی:

کشو حمالتی که د طریق شبکه عا ل شناسایی نیستند.

عا ییک عمل د محیطی که تردفی شبکه د آن مز شد

معایب:

دمکان غیرفعال شدن سیستم د خشی د حمیه

نیا ه دنبا یاد رد خیر دطالعاب

سر ا محاسباتی رد میز ان

12 / 35


زمانبندی تحلیل

بندی زمان(Timing:) فاصیه مانی ین خددد وعوای د منبو

دطالعاب تا تحییل آنتا تذسط مذتذ تحییل

یا دو د دسته د بند مان(Batch)

کشو نفذ پس د وعذع عدم دمکان پاسخ گذیی فعال

ی د نگ ند مان (Real-time)

تشخیص نفذ ه محض وعذع و یا حتی عبول د آن وهوذد دمکوان

پاسخ گذیی فعال و پیش گیر د نفذ

13 / 35


تحلیل و تشخیص

تشخیص سذء دستفاد(Misuse Detection)

حمیهعالئم (Attack Signatures)

تشخیص ناهنجا(Anomaly Detection)

غیرنرمال فتا

14 / 35


تشخیص سوء استفاده

مشخصاب

حمالب مذهذد ناخکش

تعریو دلگذ حمالب رد مذتذ تحییل

د د وعای که ا یو دلگوذ د پویش تعریوو هستجذ مجمذعه

.شد مطا قک دد د

دلگذها حمیه رو سانینیا ه

سیستم خبر وشتا مبتنی ر گید حاالب : سا وشتا پیاد

...و

15 / 35


تشخیص ناهنجاری

مشخصاب

عمیکرد نرمال سیستم ناخکش

د فتا نرمال سیستم رد مذتذ تحییل هایی تتیه نمایه

هستجذ فعالیک غیر نرمال

دسک؟آیا هر فتا غیر نرمال ی حمیه

ها عصبی و وشتا آما شبکه: سا وشتا پیاد...

16 / 35


(مقایسه)تحلیل و تشخیص

مثبووک غیووط(False Positive:) تشووخیص ناد سووک تردفیوو

خذب ه عنذدن حمیه

منفی غیوط(False Negative:) تشوخیص ناد سوک تردفیو

حمیه ه عنذدن خذب

17 / 35

تشخیص سوءاستفادهMisuse Detection

تشخیص ناهنجاریAnomaly Detection

تشخیص حمالب ناشناخته حمالب شناخته شد تشخیص فقط د حد

مثبک غیط اال ذدن د صد خطا کمتر خطا ا تشخیص سری و مطمئن


ترکیب دو نوع موتور تحلیل

نما ی سیستم تشخیص نفذ ترکیبی

دطالعاب منب

دهند پاسخ

دهند ناهنجا تشخیص

(پروفایلمذتذ )

سذءدستفاد تشخیص دهند

( مذتذ دنطباق دلگذ)

دلگذ حمالب

ها پروفایل

18 / 35


واکنش به نفوذ

فعال (Active:) د صذ ب تشخیص حمیه دنجوام رخوی دعموال

ودکنشی ه صذ ب خذدکا

(مثال دنسددد دسترسی متاهم)دنجام عمیی عییه متاهم

آو دطالعاب یشتر هم

منفعل(Passive :)گزد ش ه مدیردن و ودگید ودکنش ه آنتا

نمایش پیغام ر و صفحه

پیام / د سال پسک دلکترونیکی

:های فعالIDSعنوان دیگر

جلوگیری از نفوذ سیستمهای (IPS)

19 / 35



مقدمه‌و‌تعاریف‌اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای تشخیص نفوذ سازی سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

20 / 35


سازی تشخیص سوءاستفاده پیادهروشهای

ستم خبر سی(Expert System)

رد پردد ش حقایق و دسوتنتا نتوایم منطقوی د دیون سا وکا

د د عذدعد حقایق ا تذهه ه نجیر

سنا یذها نفذ دلگذها یا

سیستمد ددد وعای د

عذدعد

حقایق

21 / 35


سازی تشخیص سوءاستفاده روش های پیاده

مزدیا

د دئه حمالب د عالب عذدعد تذسط کا ر دون نیا ه ددنستن نحذ

عمیکرد سیستم خبر

یدمکان دضافه کردن عذدعد هدید دون تغییر عذدعد عبی

معایب

ها کا آیی پایین نامناسب رد حجم یاد ددد

نامناسب رد یان ترتیب د عذدعد

22 / 35


سازی تشخیص سوءاستفاده روش های پیاده

وش ها مبتنی ر گید حالک (State Transition)

نایور گردفیکوی مودلتا ) گوید حالک سیستم ومفتذم دستفاد د

( یز / ما کذ شبکه ها

ها دنطباق دلگذ دستفاد د تکنی

سرعک و عا ییک

حالت خطرناک نهایی اولیه امن حالت : الگوی حمله عملیات

کلیدی

23 / 35


سازی تشخیص ناهنجاری روش های پیاده

یان نمایه ا معیا ها عدد : یتحلیل کم

تعددد مجا و ود نامذفق رد کا رA n دسک.

یان نمایه ا معیا ها آما : تحلیل آماری

و ودها نامذفق رد کوا رA وا میوانگین تذ یو نرموال د یو و .پیرو می کند دنحرد معیا

IDES NIDES Haystack

دسته ند : داده کاوی(classification )و نرموال فتا ها ر حسب غیرنرمال

24 / 35


مقایسه پروفایل رفتار کاربر مجاز و مهاجم

متاهم کا ر مجا

میانگین فتا متاهم

میانگین فتا کا ر مجا

همیذشانی فتا ها




نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی چند سیستم تشخیص نفوذ نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

26 / 35


Snortسیستم

دیگانو ا متن

مبتنی ر شبکه (NIDS)

تشخیص سذءدستفاد

نذع حمیه دنحاو دلگذ هزد

27 / 35


Snortنمونه خروجی


OSSECسیستم

دیگان و ا متن

میز ان مبتنی ر(HIDS)

هیسوتر کنترل صوحک مانیتذ ینوگ ویدددنامهدمکان تحییل

rootkit و تشخیص (ویندو )

ماننود )مختیوو هوا عامول هوا سیسوتم عا ییک ه کا گیر د

Linux FreeBSD Mac OS و Windows )

29 / 35


OSSECنحوه کار

OSSEC Server

OSSEC Agents

encrypted logs UDP port 1514

encrypted logs UDP port 1514

log security events

log security events

decode logs generate alerts

Notifications

tail –f /var/ossec/alerts/alerts.log

alerts.log

syslog


Splunk for OSSEC داشبورد




نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های تشخیص نفوذ مکمل سیستم

32 / 35


های تله ترکیب با سیستم

عسل سیستم تله(Honeypot :) دغفال و فریب متاهم هتوک

.عمیکرد آن نحذةهم آو دطالعاب یشتر د

شذد میدستفاد ددفزد ها آو هم د حال حاضر یشتر رد.

ها تشوخیص ناهنجوا ورد هوددیک دمکان دستفاد د سیستم

ها تردفی مشکذک ه تیه


تحلیل همبستگی هشدارها

هشدد ها سا همبستهسیستم(Alert Correlation)

سیستمی ورد تحییول همبسوتگی وین ویودددها ثبوک شود

ها تشخیص نفذ تذسط سیستم( هشدد ها تذلید شد )

دهدد:

ها دعالنکاهش حجم هشدد ها و

ود سی صحک هشدد ها

د دستخرد حمالب چند مرحیه

34 / 35


(EWS)سیستم اخطار زودرس

Early Warning System

حمالب عبل د وعذع پیش ینی

هشدد ها د منا متعدد همبسته سا ر دساس هم آو و

مثال :DeepSight ( محصذلSymantec)

هزد دن مشتر شبکه ها هم آو دطالعاب د

پذ تووالهوور مشووتر مووی تذدنوود دطالعوواب شووبکه خووذد د د

DeepSight مشاهد نماید.

د صذ ب حمیه ه ی مشتر سایرین ه سرعک مطی می شذند.

Documents

IDS( ذوفن صیشت متسیس :13 سر - ce.sharif.educe.sharif.edu/courses/95-96/1/ce442-1/resources/root/Slides/DataNetSec... · ویفدرت کوس دان صیخوشت )False