Upload
others
View
17
Download
5
Embed Size (px)
Citation preview
امنیت داده و شبکه محمد صادق دوستی
صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر
محمد صادق دوستی
http://dnsl.ce.sharif.edu
(IDS)نفوذ سیستم تشخیص : 13درس
1 / 35
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمه و تعاریف اولیه سیستمهایتشخیصومشخصاتردهبندی
نفوذهایتشخیصنفوذ سازیسیستم پیاده معرفیچندسیستمتشخیصنفوذنمونه هایتشخیصنفوذ مکملسیستم
2 / 35
امنیت داده و شبکه محمد صادق دوستی
سیستم تشخیص نفوذ
تشخیص نفوذ(ID): فرآینود ناوا ب ور وعوای د ددد د یو
شبکه و یا سیستم کوامییذتر د هتوک کشوو موذد د دنحورد د
.سیاسک ها دمنیتی
سیستم تشخیص نفذ(IDS): ی نرم دفزد وا عا ییوک تشوخیص
ه فعالیک ها غیرمجا یوا ناهنجوا (ودکنش) آشکا سا و پاسخ
.مد د طه ا سیست
ه عد 1980تحقیقاب و تذسعه آن د سال
3 / 35
امنیت داده و شبکه محمد صادق دوستی
IDSیک وظایف عمومی
سیستم و کا رشبکه ناا ب و تحییل فعالیک ها
حمالب شناخته شد منطبق ا تشخیص دلگذها
تحییل دلگذها فعالیک ناهنجا
4 / 35
امنیت داده و شبکه محمد صادق دوستی
از سیستم های تشخیص نفوذ استفاده دالیل
ثبک تتدیددب مذهذد رد ی سا مانتشخیص و
ا تشخیص د مردحل دولیه حمالبهیذگیر د کامل شدن
تکرد حمالب مشا ه ا آگاهی سانی د مذ د حمالب هیذگیر د
کشو شد
دتفاق دفتاد و نفذ ها حمالب دطالعاب مفید د ا آو هم
و شوو ک (هوا پوییر آسیبشناخک ) دمکان عیب یا ی سا فردهم
تصحیح عامل ها سبب شذند
5 / 35
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمهوتعاریفاولیه سیستم های و مشخصاترده بندی
تشخیص نفوذهایتشخیصنفوذ سازیسیستم پیاده معرفیچندسیستمتشخیصنفوذنمونه هایتشخیصنفوذ مکملسیستم
6 / 35
35 / 7 امنیت داده و شبکه محمد صادق دوستی
در شبکه IDS سنسورآرایش قرارگیری
35 / 8 امنیت داده و شبکه محمد صادق دوستی
IDSمعماری یک
ها کنند ددد فردهم (Data Provider)
پردد ند پیش (Preprocessor)
تشخیصو تحییل مذتذ (Analysis & Detection Engine)
دهی پاسخ (Response)
ها ویدددنامه تردفی شبکه
فتا ها حمیه یا نرمال
35 / 9 امنیت داده و شبکه محمد صادق دوستی
رده بندی کلی سیستم های تشخیص نفوذ
سیستممعما
سیستم تشخیص نفذ
تحییل وش
منب دطالعاب
ه نفذ ودکنش
تحییل بند مان
سذءدستفاد تشخیص
ناهنجا تشخیص
فعال
منفعل
د نگی
دو د
متمرکز
تذ ی شد
کا رد مبتنی ر رنامه
میز انمبتنی ر
شبکهمبتنی ر
امنیت داده و شبکه محمد صادق دوستی
آوری اطالعات جمع
عمییاب هم آو ددد د ی منب دطالعواتی و تحذیول آنتوا وه
مذتذ تحییلپردد ند و پیش
مبتنی ر شبکه (NIDS)
میزباننی بر مبت (HIDS:)
ممیز سیستم عاملدنباله ها (Audit Trail) ویدددناموه هوا
(Logs)
کا رد رنامه مبتنی ر
وب ویدددنامه پایگا ددد ها ویدددنامه کا گزد
10 / 35
امنیت داده و شبکه محمد صادق دوستی
(ادامه)آوری اطالعات جمع
مبتنی ر شبکه تشخیص نفذ
امزدی:
عا ییک ناا ب ر ی شبکه ز گ
عدم تددخل ا عمیکرد معمذلی شبکه
ددشته شدن د دید متاهمان عا ییک مخفی نگه
معایب:
عدم عمیکرد صحیح د تردفی سنگین
عدم تذدنایی د تحییل دطالعاب مز شد( مانندVPN)
11 / 35
امنیت داده و شبکه محمد صادق دوستی
(ادامه)آوری اطالعات جمع
ناا ب مبتنی ر میز ان
امزدی:
کشو حمالتی که د طریق شبکه عا ل شناسایی نیستند.
عا ییک عمل د محیطی که تردفی شبکه د آن مز شد
معایب:
دمکان غیرفعال شدن سیستم د خشی د حمیه
نیا ه دنبا یاد رد خیر دطالعاب
سر ا محاسباتی رد میز ان
12 / 35
امنیت داده و شبکه محمد صادق دوستی
زمانبندی تحلیل
بندی زمان(Timing:) فاصیه مانی ین خددد وعوای د منبو
دطالعاب تا تحییل آنتا تذسط مذتذ تحییل
یا دو د دسته د بند مان(Batch)
کشو نفذ پس د وعذع عدم دمکان پاسخ گذیی فعال
ی د نگ ند مان (Real-time)
تشخیص نفذ ه محض وعذع و یا حتی عبول د آن وهوذد دمکوان
پاسخ گذیی فعال و پیش گیر د نفذ
13 / 35
امنیت داده و شبکه محمد صادق دوستی
تحلیل و تشخیص
تشخیص سذء دستفاد(Misuse Detection)
حمیهعالئم (Attack Signatures)
تشخیص ناهنجا(Anomaly Detection)
غیرنرمال فتا
14 / 35
امنیت داده و شبکه محمد صادق دوستی
تشخیص سوء استفاده
مشخصاب
حمالب مذهذد ناخکش
تعریو دلگذ حمالب رد مذتذ تحییل
د د وعای که ا یو دلگوذ د پویش تعریوو هستجذ مجمذعه
.شد مطا قک دد د
دلگذها حمیه رو سانینیا ه
سیستم خبر وشتا مبتنی ر گید حاالب : سا وشتا پیاد
...و
15 / 35
امنیت داده و شبکه محمد صادق دوستی
تشخیص ناهنجاری
مشخصاب
عمیکرد نرمال سیستم ناخکش
د فتا نرمال سیستم رد مذتذ تحییل هایی تتیه نمایه
هستجذ فعالیک غیر نرمال
دسک؟آیا هر فتا غیر نرمال ی حمیه
ها عصبی و وشتا آما شبکه: سا وشتا پیاد...
16 / 35
امنیت داده و شبکه محمد صادق دوستی
(مقایسه)تحلیل و تشخیص
مثبووک غیووط(False Positive:) تشووخیص ناد سووک تردفیوو
خذب ه عنذدن حمیه
منفی غیوط(False Negative:) تشوخیص ناد سوک تردفیو
حمیه ه عنذدن خذب
17 / 35
تشخیص سوءاستفادهMisuse Detection
تشخیص ناهنجاریAnomaly Detection
تشخیص حمالب ناشناخته حمالب شناخته شد تشخیص فقط د حد
مثبک غیط اال ذدن د صد خطا کمتر خطا ا تشخیص سری و مطمئن
امنیت داده و شبکه محمد صادق دوستی
ترکیب دو نوع موتور تحلیل
نما ی سیستم تشخیص نفذ ترکیبی
دطالعاب منب
دهند پاسخ
دهند ناهنجا تشخیص
(پروفایلمذتذ )
سذءدستفاد تشخیص دهند
( مذتذ دنطباق دلگذ)
دلگذ حمالب
ها پروفایل
18 / 35
امنیت داده و شبکه محمد صادق دوستی
واکنش به نفوذ
فعال (Active:) د صذ ب تشخیص حمیه دنجوام رخوی دعموال
ودکنشی ه صذ ب خذدکا
(مثال دنسددد دسترسی متاهم)دنجام عمیی عییه متاهم
آو دطالعاب یشتر هم
منفعل(Passive :)گزد ش ه مدیردن و ودگید ودکنش ه آنتا
نمایش پیغام ر و صفحه
پیام / د سال پسک دلکترونیکی
:های فعالIDSعنوان دیگر
جلوگیری از نفوذ سیستمهای (IPS)
19 / 35
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمهوتعاریفاولیه سیستمهایتشخیصومشخصاتردهبندی
نفوذهای تشخیص نفوذ سازی سیستم پیاده معرفیچندسیستمتشخیصنفوذنمونه هایتشخیصنفوذ مکملسیستم
20 / 35
امنیت داده و شبکه محمد صادق دوستی
سازی تشخیص سوءاستفاده پیادهروشهای
ستم خبر سی(Expert System)
رد پردد ش حقایق و دسوتنتا نتوایم منطقوی د دیون سا وکا
د د عذدعد حقایق ا تذهه ه نجیر
سنا یذها نفذ دلگذها یا
سیستمد ددد وعای د
عذدعد
حقایق
21 / 35
امنیت داده و شبکه محمد صادق دوستی
سازی تشخیص سوءاستفاده روش های پیاده
مزدیا
د دئه حمالب د عالب عذدعد تذسط کا ر دون نیا ه ددنستن نحذ
عمیکرد سیستم خبر
یدمکان دضافه کردن عذدعد هدید دون تغییر عذدعد عبی
معایب
ها کا آیی پایین نامناسب رد حجم یاد ددد
نامناسب رد یان ترتیب د عذدعد
22 / 35
امنیت داده و شبکه محمد صادق دوستی
سازی تشخیص سوءاستفاده روش های پیاده
وش ها مبتنی ر گید حالک (State Transition)
نایور گردفیکوی مودلتا ) گوید حالک سیستم ومفتذم دستفاد د
( یز / ما کذ شبکه ها
ها دنطباق دلگذ دستفاد د تکنی
سرعک و عا ییک
حالت خطرناک نهایی اولیه امن حالت : الگوی حمله عملیات
کلیدی
23 / 35
امنیت داده و شبکه محمد صادق دوستی
سازی تشخیص ناهنجاری روش های پیاده
یان نمایه ا معیا ها عدد : یتحلیل کم
تعددد مجا و ود نامذفق رد کا رA n دسک.
یان نمایه ا معیا ها آما : تحلیل آماری
و ودها نامذفق رد کوا رA وا میوانگین تذ یو نرموال د یو و .پیرو می کند دنحرد معیا
IDES NIDES Haystack
دسته ند : داده کاوی(classification )و نرموال فتا ها ر حسب غیرنرمال
24 / 35
35 / 25 امنیت داده و شبکه محمد صادق دوستی
مقایسه پروفایل رفتار کاربر مجاز و مهاجم
متاهم کا ر مجا
میانگین فتا متاهم
میانگین فتا کا ر مجا
همیذشانی فتا ها
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمهوتعاریفاولیه سیستمهایتشخیصومشخصاتردهبندی
نفوذهایتشخیصنفوذ سازیسیستم پیاده معرفی چند سیستم تشخیص نفوذ نمونه هایتشخیصنفوذ مکملسیستم
26 / 35
امنیت داده و شبکه محمد صادق دوستی
Snortسیستم
دیگانو ا متن
مبتنی ر شبکه (NIDS)
تشخیص سذءدستفاد
نذع حمیه دنحاو دلگذ هزد
27 / 35
35 / 28 امنیت داده و شبکه محمد صادق دوستی
Snortنمونه خروجی
امنیت داده و شبکه محمد صادق دوستی
OSSECسیستم
دیگان و ا متن
میز ان مبتنی ر(HIDS)
هیسوتر کنترل صوحک مانیتذ ینوگ ویدددنامهدمکان تحییل
rootkit و تشخیص (ویندو )
ماننود )مختیوو هوا عامول هوا سیسوتم عا ییک ه کا گیر د
Linux FreeBSD Mac OS و Windows )
29 / 35
35 / 30 امنیت داده و شبکه محمد صادق دوستی
OSSECنحوه کار
OSSEC Server
OSSEC Agents
encrypted logs UDP port 1514
encrypted logs UDP port 1514
log security events
log security events
decode logs generate alerts
Notifications
tail –f /var/ossec/alerts/alerts.log
alerts.log
syslog
35 / 31 امنیت داده و شبکه محمد صادق دوستی
Splunk for OSSEC داشبورد
امنیت داده و شبکه محمد صادق دوستی
فهرست مطالب
مقدمهوتعاریفاولیه سیستمهایتشخیصومشخصاتردهبندی
نفوذهایتشخیصنفوذ سازیسیستم پیاده معرفیچندسیستمتشخیصنفوذنمونه های تشخیص نفوذ مکمل سیستم
32 / 35
35 / 33 امنیت داده و شبکه محمد صادق دوستی
های تله ترکیب با سیستم
عسل سیستم تله(Honeypot :) دغفال و فریب متاهم هتوک
.عمیکرد آن نحذةهم آو دطالعاب یشتر د
شذد میدستفاد ددفزد ها آو هم د حال حاضر یشتر رد.
ها تشوخیص ناهنجوا ورد هوددیک دمکان دستفاد د سیستم
ها تردفی مشکذک ه تیه
امنیت داده و شبکه محمد صادق دوستی
تحلیل همبستگی هشدارها
هشدد ها سا همبستهسیستم(Alert Correlation)
سیستمی ورد تحییول همبسوتگی وین ویودددها ثبوک شود
ها تشخیص نفذ تذسط سیستم( هشدد ها تذلید شد )
دهدد:
ها دعالنکاهش حجم هشدد ها و
ود سی صحک هشدد ها
د دستخرد حمالب چند مرحیه
34 / 35
35 / 35 امنیت داده و شبکه محمد صادق دوستی
(EWS)سیستم اخطار زودرس
Early Warning System
حمالب عبل د وعذع پیش ینی
هشدد ها د منا متعدد همبسته سا ر دساس هم آو و
مثال :DeepSight ( محصذلSymantec)
هزد دن مشتر شبکه ها هم آو دطالعاب د
پذ تووالهوور مشووتر مووی تذدنوود دطالعوواب شووبکه خووذد د د
DeepSight مشاهد نماید.
د صذ ب حمیه ه ی مشتر سایرین ه سرعک مطی می شذند.