IDS( ذوفن صیشت متسیس :13 سر

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

(IDS)نفوذ سیستم تشخیص : 13درس

1 / 36

فهرست مطالب

مقدمه و تعاریف اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

2 / 36

سیستم تشخیص نفوذ

تشخیص نفوو(ID): فرآینود ناوا ب ور وعوای د داده د یو

شبکه و یا سیستم کوامپیوتر د ههوت کشوف مووا د انحورا از

.سیاست ها امنیتی

سیستم تشخیص نفو(IDS): ی نرم افزا وا عا ییوت تشوخیص

ه فعالیت ها غیرمجاز یوا ناهنجوا (واکنش) آشکا ساز و پاسخ

.مد ا طه ا سیست

ه عد 1980تحقیقاب و توسعه آن از سال

3 / 36

IDSیک وظایف عمومی

سیستم و کا رشبکه ناا ب و تحییل فعالیت ها

حملاب شناخته شده منطبق ا تشخیص الگوها

تحییل الگوها فعالیت ناهنجا

4 / 36

از سیستم های تشخیص نفوذ استفاده دلایل

ثبت تهدیداب موهود را ی سازمانتشخیص و

ا تشخیص د مراحل اولیه حملابهیوگیر از کامل شدن

تکرا حملاب مشا ه ا آگاهی سانی د مو د حملاب هیوگیر از

کشف شده

اتفاق افتاده و نفو ها حملاب اطلاعاب مفید د ا ه آو هم

و شوف ک (هوا پوییر آسیبشناخت ) امکان عیب یا ی ساز فراهم

تصحیح عامل ها سبب شونده

5 / 36

مقدمه‌و‌تعاریف‌اولیه سیستم های و مشخصاترده بندی

تشخیص نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

6 / 36

36 / 7 امنیت داده و شبکه محمد صادق دوستی

در شبکه IDS سنسورآرایش قرارگیری

IDSمعماری یک

ها کننده داده فراهم (Data Provider)

پردازنده پیش (Preprocessor)

تشخیصو تحییل موتو (Analysis & Detection Engine)

دهی پاسخ (Response)

ها ویدادنامه ترافی شبکه

فتا ها حمیه یا نرمال

رده بندی کلی سیستم های تشخیص نفوذ

سیستممعما

سیستم تشخیص نفو

تحییل وش

منب اطلاعاب

ه نفو واکنش

تحییل بند زمان

سوءاستفادهتشخیص

ناهنجا تشخیص

فعال

منفعل

د نگی

دو ه ا

متمرکز

توزی شده

کا رد مبتنی ر رنامه

میز انمبتنی ر

شبکهمبتنی ر

آوری اطلاعات جمع

عمییاب هم آو داده از ی منب اطلاعواتی و تحویول آنهوا وه

موتو تحییلپردازنده و پیش

مبتنی ر شبکه (NIDS)

میز اننی ر مبت (HIDS:)

ممیز سیستم عاملدنباله ها (Audit Trail) ویدادناموه هوا

(Logs)

کا رد رنامه مبتنی ر

وب ویدادنامه پایگاه داده ها ویدادنامه کا گزا

10 / 36

(ادامه)آوری اطلاعات جمع

مبتنی ر شبکه تشخیص نفو

امزای:

عا ییت ناا ب ر ی شبکه ز گ

عدم تداخل ا عمیکرد معمولی شبکه

داشته شدن از دید مهاهمان عا ییت مخفی نگه

معایب:

عدم عمیکرد صحیح د ترافی سنگین

عدم توانایی د تحییل اطلاعاب مز شده( مانندVPN)

11 / 36

(ادامه)آوری اطلاعات جمع

ناا ب مبتنی ر میز ان

امزای:

کشف حملاتی که از طریق شبکه عا ل شناسایی نیستند.

عا ییت عمل د محیطی که ترافی شبکه د آن مز شده

معایب:

امکان غیرفعال شدن سیستم د خشی از حمیه

نیاز ه انبا ه زیاد را خیره اطلاعاب

سر ا محاسباتی را میز ان

12 / 36

زمانبندی تحلیل

بند زمان(Timing:) فاصیه زمانی ین خوداد وعوای د منبو

اطلاعاب تا تحییل آنها توسط موتو تحییل

یا دو ه ا دسته ا بند زمان(Batch)

کشف نفو پس از وعوع عدم امکان پاسخ گویی فعال

ی د نگ ند زمان (Real-time)

تشخیص نفو ه محض وعوع و یا حتی عبول از آن وهوود امکوان

پاسخ گویی فعال و پیش گیر از نفو

13 / 36

تحلیل و تشخیص

تشخیص سوء استفاده(Misuse Detection)

حمیهعلائم (Attack Signatures)

تشخیص ناهنجا(Anomaly Detection)

غیرنرمال فتا

14 / 36

تشخیص سوء استفاده

مشخصاب

حملاب موهود ناختش

تعریف الگو حملاب را موتو تحییل

ا از وعای که ا یو الگوو از پویش تعریوف هستجو مجموعه

.شده مطا قت دا د

الگوها حمیه روز سانینیاز ه

سیستم خبره وشها مبتنی ر گیا حالاب : ساز وشها پیاده

15 / 36

تشخیص ناهنجاری

مشخصاب

عمیکرد نرمال سیستم ناختش

از فتا نرمال سیستم را موتو تحییل هایی تهیه نمایه

هستجو فعالیت غیر نرمال

است؟آیا هر فتا غیر نرمال ی حمیه

ها عصبی و وشها آما شبکه: ساز وشها پیاده...

16 / 36

(مقایسه)تحلیل و تشخیص

مثبووت غیووط(False Positive:) تشووخیص ناد سووت ترافیوو

خوب ه عنوان حمیه

منفی غیوط(False Negative:) تشوخیص ناد سوت ترافیو

حمیه ه عنوان خوب

17 / 36

تشخیص سوءاستفادهMisuse Detection

تشخیص ناهنجا Anomaly Detection

تشخیص حملاب ناشناخته حملاب شناخته شده تشخیص فقط د حد

مثبت غیط الا ودن د صد خطا کمتر خطا ا تشخیص سری و مطمئن

ترکیب دو نوع موتور تحلیل

نما ی سیستم تشخیص نفو ترکیبی

اطلاعاب منب

دهنده پاسخ

دهنده ناهنجا تشخیص

(پروفایلموتو )

سوءاستفادهتشخیص دهنده

( موتو انطباق الگو)

الگو حملاب

ها پروفایل

18 / 36

واکنش به نفوذ

فعال (Active:) د صو ب تشخیص حمیه انجوام رخوی اعموال

واکنشی ه صو ب خودکا

(مثلا انسداد دسترسی مهاهم)انجام عمیی عییه مهاهم

آو اطلاعاب یشتر هم

منفعل(Passive :)گزا ش ه مدیران و واگیا واکنش ه آنها

نمایش پیغام ر و صفحه

پیام / ا سال پست الکترونیکی

:ها فعالIDSعنوان دیگر

(IPS)هیوگیر از نفو سیستمها

19 / 36

مقدمه‌و‌تعاریف‌اولیه سیستم‌های‌تشخیص‌‌‌و‌مشخصاترده‌بندی‌

نفوذهای تشخیص نفوذ سازی سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

20 / 36

سازی تشخیص سوءاستفاده پیادهروشهای

ستم خبره سی(Expert System)

را پردازش حقایق و اسوتنتا نتوایم منطقوی از ایون سازوکا

ا از عواعد حقایق ا توهه ه زنجیره

سنا یوها نفو الگوها یا

سیستمد داده وعای د

عواعد

حقایق

21 / 36

سازی تشخیص سوءاستفاده روش های پیاده

مزایا

ا ائه حملاب د عالب عواعد توسط کا ر دون نیاز ه دانستن نحوه

عمیکرد سیستم خبره

یامکان اضافه کردن عواعد هدید دون تغییر عواعد عبی

معایب

ها کا آیی پایین نامناسب را حجم زیاد داده

نامناسب را یان ترتیب د عواعد

22 / 36

سازی تشخیص سوءاستفاده روش های پیاده

وش ها مبتنی ر گیا حالت (State Transition)

نایور گرافیکوی مودلها ) گویا حالت سیستم ومفهوم استفاده از

( یز / ما کو شبکه ها

ها انطباق الگو استفاده از تکنی

سرعت و عا ییت

حالت خطرناک نهایی اولیه امن حالت : الگو حمیه عمییاب

کیید

23 / 36

سازی تشخیص ناهنجاری روش های پیاده

یان نمایه ا معیا ها عدد : یتحییل کم

تعداد مجاز و ود ناموفق را کا رA n است.

یان نمایه ا معیا ها آما : تحییل آما

و ودها ناموفق را کوا رA وا میوانگین توزیو نرموال از یو و .پیرو می کند انحرا معیا

IDES NIDES Haystack

دسته ند : داده کاو(classification ) و نرموال فتا ها ر حسوب غیرنرمال

24 / 36

مقایسه پروفایل رفتار کاربر مجاز و مهاجم

مهاهم کا ر مجاز

میانگین فتا مهاهم

میانگین فتا کا ر مجاز

همپوشانی فتا ها

نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی چند سیستم تشخیص نفوذ نمونه های‌تشخیص‌نفوذ مکمل‌سیستم

26 / 36

Snortسیستم

ایگانو از متن

مبتنی ر شبکه (NIDS)

تشخیص سوءاستفاده

نوع حمیه انحاو الگو هزا

27 / 36

Snortنمونه خروجی

OSSECسیستم

ایگان و از متن

میز ان مبتنی ر(HIDS)

هیسوتر کنترل صوحت مانیتو ینوگ ویدادنامهامکان تحییل

rootkit و تشخیص (ویندوز)

ماننود )مختیوف هوا عامول هوا سیسوتم عا ییت ه کا گیر د

Linux FreeBSD Mac OS و Windows )

29 / 36

OSSECنحوه کار

OSSEC Server

OSSEC Agents

encrypted logs UDP port 1514

log security events

decode logs generate alerts

Notifications

tail –f /var/ossec/alerts/alerts.log

alerts.log

syslog

Splunk for OSSEC داشبورد

نفوذهای‌تشخیص‌نفوذ سازی‌سیستم پیاده معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه های تشخیص نفوذ مکمل سیستم

32 / 36

های تله ترکیب با سیستم

عسل سیستم تیه(Honeypot :) اغفال و فریوب مهواهم ههوت

.عمیکرد آن نحوةهم آو اطلاعاب یشتر از

شود میاستفاده دافزا ها آو هم د حال حاضر یشتر را.

ها تشوخیص ناهنجوا ورا هودایت امکان استفاده از سیستم

ها ترافی مشکوک ه تیه

تحلیل همبستگی هشدارها

هشدا ها ساز همبستهسیستم(Alert Correlation)

سیستمی ورا تحییول همبسوتگی وین ویودادها ثبوت شوده

ها تشخیص نفو توسط سیستم( هشدا ها تولید شده)

اهدا:

ها اعلانکاهش حجم هشدا ها و

وا سی صحت هشدا ها

ا استخرا حملاب چند مرحیه

34 / 36

(EWS)سیستم اخطار زودرس

Early Warning System

حملاب عبل از وعوع پیش ینی

هشدا ها از منا متعدد همبسته ساز ر اساس هم آو و

مثال :DeepSight ( محصولSymantec)

هزا ان مشتر شبکه ها هم آو اطلاعاب از

پو تووالهوور مشووتر مووی توانوود اطلاعوواب شووبکه خووود ا د

DeepSight مشاهده نماید.

د صو ب حمیه ه ی مشتر سایرین ه سرعت مطی می شوند.

پایان

:صفحه د س

/1-442/ce2/95-94http://ce.sharif.edu/courses/

18الی 17 یکشنبه ها :مراهعه حضو ههت ف اشکال

(هنب آسانسو شیشه ا طبقه پنجم دانشکده د ب )

یا د زمانها دیگر ا عرا عبیی

dousti@ce :یا ه وسییه ایانامه

36 / 36

IDS( ذوفن صیشت متسیس :13 سر

Documents

هللا انیـس : اتـساdl.sanaye20.ir/laleh-tahlil-system.pdfهللا انیـس : اتـسا اه متسیس لیلحت عیانص یسدنهم هورگ - لامش نارهت

راد1خاروس1هبادرگ1دلوم1ریثأت1تحت1حطسم1لاناک1کی1ر� ... · 2021. 4. 11. · ریز ياهرازبا و اههاگتسد متسیس نیا رد

1394 - Imarketor · 2017-10-17 · 8 *هاگن کی رد ناریا)1392( لاس 75/1:یگدنز هب دیما طسوتم)1394 زییاپ( دصرد 57/2:تنرتنیا ذوفن بیرض)1394

عتارم تیریدم و یبایزرا یارب یریگمیمصت نابیتشپ ......تارم میریدم و یبایزرا یارب یریگمیمصت نابیتشپ متسیس

تنرتنیا و سکینوی ینابم · Eric Raymond تنرتنیا و سکینوی ینابم ۲۵ ..... متسیس یاف و کسید نیریز راتخاس .۱-۱۰

یزاف جاتنتسا متسیس زا هافتسا اب هدننکنیمأت باتناjpom.ui.ac.ir/article_19800_221212c8d37ee4ac54d1b55a51a705d1.pdf · 221/ یزاف جاتنتسا

تسین ینآ یجوخ و یدورو هطبار هک یمتیس:یکیمانید متسیس فیعت · stability ϓϴراύت (bounded input ,bounded output)یجϮίخ یدϮرϮ

تاتساموه یاه متسیس - human-kabul.com · HumaClot Pro Movie ینمرج تخاس و تیفیک ... Junior تلاکاموه DuoPlus تلاکاموه Pro

VIRA SYSTEM - Nooraneh€¦ · vira system vira system lighting control system اریو متسیس اب هنارون دنمشوه ییانشور یاه غارچ یاه یگژیو

درادناتسا یسراف نتم تیفیک تییدم متسیس ISO /TS 29001:2010systemkaran.org/images/PDFFILE/ISO29001-2010-FARSI_1.pdf · یناسر علاطا و هرواشم

صیشت ر یناجیه یهتسویپ ... - japr.ut.ac.ir · Email: arahimi@ut.ac.ir Received: 7 Sep 2019 Accepted: 16 Feb 2020 /11/2۷ شریذپ /06/16 تفایر{ زا هتفرگرب

GSM-S-005 GSM-S-600...صیخشت بامیس هدنه رادشه هاگتس یامنهار GSM-S-005 GSM-S-600 صیشت بامیس تکرش صی S600 لدم هدنهد رادشه هاگتسد

یلم یاه دردنتس تسل„ست ستندرد های ملی_0.pdf · ASTM D217-02 هدننک برچ سیرگ ذوفن تیلباق شیامزآ یاه شور یلم دردنتس

IOSو دیوردنا یاههاگتسد یاب · .تسا تفای لباق IOS و یونا لماع متسیس یاب کمانب :هتکن نومن trust هب تبسن تسیاب

:یلرتنک تامادقا و تازیهجتcmnl.ipm.ac.ir/documents/HSE.pdfهیوهت متسیس فادها قاشنتسا یریگرارق ضرعم رد ندرک لرتنک یارب

هنازورو هرو سر حرط - iaug.ac.ir · حیضوت ار ششک تحت نارامیب زا يراتسرپ ریبادت دهد و یتکرح ، ینلا ع متسیس تامدص

:عوضوم - کالی بویز · sqlmap [ز_ زیوب یلاک یتینما و یشزومآ تیاس بو ؟دراد که و ذوفن تست یارب ییاه رازبا هچ و

یربراک متسیس تامیظنت و طیارش 5 هاگدید رد´رایط و تنظیمات سیستم... · 5 هاگدید رد یربراک متسیس تامیظنت و

تیفیك تیی|م متسیس تنتنیا هب لا تا تهج موم میظنت ...±اهنمای...تیفیك تییم متسیس تنتنیا هب لا تا تهج موم میظنت

لماع متسیس میهافم و لوصا - Nastoohدنیآرف تیریدم nastooh@aut.ac.ir لماع متسیس میهافم و لوصا PCB لماش ،اهدنیآرف هب