تشخيص و جلوگيري از نفوذ

تشخيص و جلوگيري از نفوذ (Intrusion Detection and Prevention) امروزه به عنوان يكي از مكانيزم‌هاي اصلي در برآوردن امنيت شبكه‌ها و سيستم‌هاي كامپيوتري مطرح است. زماني كه براي اولين بار ايده استفاده از اين سيستم‌ها مطرح گرديد، به دليل بار پردازشي فراوان تنها مورد استقبال محيط‌هاي نظامي و تجاري مهم قرار گرفت. امروزه با پيشرفت چشمگير در طراحي و توليد سخت‌افزارها و مدارهاي خاص منظوره (ASIC) و توسعه معماري‌هاي نوين در طراحي و توليد نرم‌افزارها امكان استفاده از اين ايده و تكنولوژي براي طيف گسترده‌اي از سيستم‌هاي كامپيوتري امكانپذير شده است.

امروزه ديگر سيستم‌هاي تشخيص نفوذ را به عنوان سيستم‌‌هايي مجزا در نظر نمي‌گيريم بلكه اين سيستم‌ها به عنوان زيرسيستم‌هايي از تجهيزات شبكه، سيستم‌هاي عامل و حتي سرويس‌ها قابل به‌كارگرفته مي‌شوند. هدف در اين مقاله بررسي اين تكنولوژي به عنوان راه آينده در امن‌سازي و مديريت سيستم‌هاي كامپيوتري در آينده‌اي نزديك است. بر اين اساس در قسمت اول به تاريخچه اين سيستم‌ها مي‌پردازيم. بررسي رويكردهاي نوين در تشخيص و ممانعت از نفوذ و آينده اين تكنولوژي عناوين شماره‌هاي بعدي اين بحث خواهد بود.

تاريخچه
بعد از سال 1970 و با افزايش سرعت، حوزه كاربرد و تعداد كامپيوترها نياز به امنيت كامپيوتري بيش از پيش آشكار شد. در اين سال‌ها بود كه سازمان ملي استاندارد‌هاي آمريكا (US National Bureau of Standards) گردهم‌آيي با حضور دولت مردان و سازمان‌هاي نظارت بر تجارت برگزار كرد كه حاصل آن گزارشي بيانگر وضعيت بازرسي و امنيت در زمينه‌هاي الكترونيكي- تجاري بود. در همان زمان وزارت دفاع آمريكا (US Department Of Defence (DOD))، متوجه افزايش استفاده از كامپيوترها در سيستم‌هاي نظامي و در نتيجه آن اهميت امنيت اين سيستم‌ها شد. بررسي اين موضوع به جيمز «پي اندرسون» واگذار گرديد. جيمز پي اندرسون به عنوان نخستين فردي كه نياز به بررسي خودكار وقايع ثبت شده در سيستم در جهت اهداف امنيتي را مطرح كرد، شناخته مي‌شود. اندرسون در سال 1980 گزارشي ارائه داد كه از آن به عنوان ابتدائي‌ترين فعاليت در زمينه تشخيص نفوذ ياد مي‌شود.

در اين گزارش او تغييراتي را در نحوه ثبت وقايع سيستم و بررسي آنها، در جهت فراهم آوردن اطلاعات مورد نياز پرسنل امنيتي براي رديابي مشكلات امنيتي، پيشنهاد كرد. در همين گزارش بود كه مفهوم كاهش اطلاعات ثبت شده، حذف ركوردهاي زيادي و بي‌ربط از اطلاعات، بيان شد. به صورتي كه در شماره سوم مقاله توضيح خواهيم داد ايده اصلي سيستم‌هاي Log/Alert Correlation از اين مفهوم نشات مي‌گيرد.

IDES
از 1984 تا 1986 دوروتي دنينگ و پيتر نيومن تحقيقات و طراحي IDES كه يك سيستم تشخيص نفوذ بلادرنگ (Real-Time) بود به انجام رسانيدند. اين تحقيق كه تحت حمايت SPAWARS (Space And Naval Warfare Systems) انجام شد، از هر دو رويكرد ناهنجاري و سوء استفاده كه در شماره بعدي مقاله آنها را توضيح خواهيم داد، استفاده مي‌كرد. تحقيق انجام شده به عنوان پايه‌اي براي بسياري از تحقيقات انجام شده در زمينه تشخيص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنينگ در سال 1987 روي اين موضوع به عنوان يكي ديگر از كارهاي اوليه در زمينه تشخيص نفوذ، مطرح است. مدل ارائه شده توسط دنينگ و نيومن در مؤسسه SRI و بين سال هاي 1986 تا 1992 در طراحي نسخه كاربردي IDES بكار گرفته شد.

پروژه بررسي خودكار رويدادها
در 1984 تا 1985، يك گروه تحقيقاتي در سايتك( Sytek) اداره يكي از پروژه‌هاي تحت حمايت SPAWARS را بر عهده گرفت. پروژه بررسي خودكار رويدادها منتج به يك سيستم نمونه شد كه از داده‌هاي جمع‌آوري شده از پوسته سيستم‌عامل UNIX استفاده مي‌كرد. سپس داده‌ها پس از ذخيره‌سازي در يك پايگاه داده‌ها مورد بررسي قرار مي‌گرفتند. اين پروژه‌ بر قابليت سيستم‌هاي تشخيص نفوذ در جدا كردن استفاده‌هاي نرمال و غيرنرمال از سيستم‌هاي كامپيوتري، تمركز داشت.

سيستم Discovery
Discovery يك سيستم خبره بود كه براي تشخيص و جلوگيري از مشكلات موجود در پايگاه داده بر خط TRW طراحي شد. اين سيستم از آن جهت كه بجاي تمركز بر سيستم عامل براي تشخيص نفوذ در يك پايگاه داده بكار گرفته شد، از نظر تحقيقات و پياده‌سازي با ديگر سيستم‌هاي ارائه شده تا آن زمان تفاوت داشت. رويكرد ناهنجاري و سوء استفاده كه در شماره بعدي مقاله آنها را توضيح خواهيم داد، استفاده مي‌كرد. تحقيق انجام شده به عنوان پايه‌اي براي بسياري از تحقيقات انجام شده در زمينه تشخيص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنينگ در سال 1987 روي اين موضوع به عنوان يكي ديگر از كارهاي اوليه در زمينه تشخيص نفوذ، مطرح است. مدل ارائه شده توسط دنينگ و نيومن در مؤسسه SRI و بين سال هاي 1986 تا 1992 در طراحي نسخه كاربردي IDES بكار گرفته شد.

پروژه بررسي خودكار رويدادها
در 1984 تا 1985، يك گروه تحقيقاتي در سايتك اداره يكي از پروژه‌هاي تحت حمايت SPAWARS را بر عهده گرفت. پروژه بررسي خودكار رويدادها منتج به يك سيستم نمونه شد كه از داده‌هاي جمع‌آوري شده از پوسته سيستم‌عامل UNIX استفاده مي‌كرد. سپس داده‌ها پس از ذخيره‌سازي در يك پايگاه داده‌ها مورد بررسي قرار مي‌گرفتند. اين پروژه‌ بر قابليت سيستم‌هاي تشخيص نفوذ در جدا كردن استفاده‌هاي نرمال و غيرنرمال از سيستم‌هاي كامپيوتري، تمركز داشت.

سيستم Haystack
كار اوليه روي اين سيستم بين سال‌هاي 1987 تا 1989 در TAS و از سال هاي 1989 تا 1991 در آزمايشگاه‌هاي Haystack براي نيروي هوايي ارتش امريكا و بخش CSC (Cryptologic Support Center) آن انجام شد. اين سيستم براي تشخيص نفوذگران داخلي بخش SBLC نيروي هوايي بكار گرفته شد. كامپيوترهاي اين بخش، مين‌فرم‌هاي Sperry 1100/60 با سيستم عامل‌هاي قديمي دهة 70 بودند كه براي پردازش خاص بر روي داده‌ها استفاده مي‌شدند.

سيستم MIDAS
اين سيستم توسط مركز ملي امنيت كامپيوتري (National Computer Security Center) ارائه شد كه وظيفه آن نظارت بر سيستم Dockmaster اين مركز كه از سيستم‌عامل امن Honey DPS 8170 استفاده مي‌كرد، بود. بنابراين MIDAS (Multics Intrusion Detection and Alerting System) به گونه‌اي طراحي شده بود كه از رويدادهاي ثبت شده توسط Dockmaster استفاده كند. خود سيستم به رويدادهاي ثبت شده اطلاعات ديگر استخراج شده از سيستم را اضافه مي‌كرد. اين سيستم يكي از اولين سيستم‌هايي است كه سيستم مورد نظارت آن به اينترنت متصل بود.

سيستم NADIR
اين سيستم توسط شاخه محاسبات آزمايشگاه ملي لوس آلاموس براي نظارت بر فعاليت‌هاي كاربر روي يك شبكه محاسبات مجتمع در لوس آلاموس بكار گرفته شد. NADIR (Network Anomaly Detector and Intrusion Reporter) نظارت بر شبكه را با پردازش رد وقايع توليد شده توسط نودهاي خاص شبكه انجام مي‌داد. اين سيستم براي اجرا روي ايستگاه‌هاي كاري UNIX طراحي شده بود و مانند بسياري ديگر از سيستم‌هاي آن زمان از يك سيستم خبره و يك آناليز‌گر آماري همزمان استفاده مي‌كرد.

سيستم NSM
سيستم NSM (Network System Monitor) براي اجرا روي سيستم هاي SUN UNIX در دانشگاه كاليفرنيا طراحي شد. NSM اولين سيستمي بود كه برداده‌هاي شبكه نظارت مي‌كرد و منبع اصلي آن براي تشخيص داده‌هاي استخراج شده از ترافيك شبكه بود. قبل از اين منابع مورد استفاده توسط سيستم‌هاي تشخيص نفوذ اطلاعات دريافتي از سيستم عامل و رد وقايع ثبت شده در سيستم و همچنين اطلاعات دريافتي از نرم‌افزارهاي ناظر صفحه كليد بود. سيستم‌هايي كه معرفي شدند به عنوان ريشه تحقيقاتي كه منجر به طراحي سيستم‌هاي تجاري و متن‌باز فعلي گرديد مطرح مي‌باشند. در شماره بعدي مقاله ضمن اشاره به رويكردهاي تشخيص نفوذ به بررسي وضعيت فعلي اين سيستم‌ها مي‌پردازيم.

منبع: امن افزارگستر شريف