سیستم تشخیص نفوذ مبتنی بر میزبان
سیستم تشخیص نفوذ مبتنی بر میزبان نوعی از سیستم تشخیص نفوذ است که درون یک سیستم محاسباتی را نظارت و تحلیل میکند بهطور مثال بستههایی که بر روی واسط شبکه آن سیستم عبور میکند را بررسی میکند (همانند سیستم تشخیص نفوذ مبتنی بر شبکه).[۱] این اولین نوع از نرمافزار تشخیص نفوذ بود که جهت کامپیوترهای بزرگ که ارتباطات کمی با محیط بیرون داشتند طراحی گردید.[۲]
دید کلی
[ویرایش]سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)تمام حالات و رفتارهای پویای سیستم کامپیوتری را نظارت میکند. سیستم تشخیص نفوذ مبتنی بر میزبان در کنار چنین فعالیتهایی مثل بازرسی پویای بستههایی از شبکه که مقصد آنها یک میزبان مشخص است تعیین میکند که چه برنامههایی به چه منابعی دسترسی دارند؛ مثلاً مشخص میکند که یک پردازشگر لغت بهطور تصادفی و نامعلوم شروع به تغییر دادن پایگاه داده رمز عبور یک سیستم کردهاست. بهطور مشابه ممکن است سیستم تشخیص نفوذ مبتنی بر میزبان به وضعیت سیستم توجه کرده مثلاً اطلاعاتی را که در حافظه رَم یا سیستم فایل یا فایلهای لاگ ذخیره شده باشند را بررسی کرده و متوجه شود که محتوای اینها در معرض تغییر هستند. سیستم تشخیص نفوذ مبتنی بر میزبان را میتوان به عنوان عاملی در نطر گرفت که هر شی یا شخص داخلی یا خارجی را که میخواهد سیاستهای امنیتی سیستم را به چالش بکشد، تحت نظارت قرار میدهد.
مشاهده فعالیتهای پویا
[ویرایش]اکثر کاربران کامپیوتر با ابزارهایی مانند آنتیویروسها مواجه میشوند که فعالیتهای پویای سیستم را تحت نظر قرار میدهند. در حالی که نرمافزارهای آنتیویروس اغلب وضعیت سیستم را تحتنظر قرار میدهند و اکثر وقت خود را صرف این میکنند که بدانند چه کسی مشغول انجام چه کاری در درون کامپیوتر است و همچنین دسترسی بعضی از برنامهها به منابع معین را کنترل میکنند. در این راستا وضعیت بسیار مبهم میشود زیرا اکثر ابزارها در عملکردهایشان همپوشانی دارند. سیستمهای پیشگیری از نفوذ نوعی از نرمافزارهای تشخیص نفوذ مبتنی بر میزبان هستند که در مقابل حملات سرریز بافر که بر روی حافظه سیستم انجام میشوند محافظت ایجاد میکنند و به اجرای سیاستهای امنیتی میپردازند.[۳]
مشاهده حالت
[ویرایش]عملیات اصلی سیستم تشخیص نفوذ مبتنی بر میزبان به این بستگی دارد که آیا هکرها واقعاً ردپایی از خود بجا میگذارند یا نه. در حقیقت چنین هکرهایی میخواهند مالکیت یک سیستم کامپیوتری که مورد هک واقع شدهاست را به نام خود درآورند. آنها این کار را از طریق نصب کردن نرمافزارهایی انجام میدهند تا در آینده مالکیت و حق دسترسی به هر کاری که میخواهند انجام دهند را بهدست آورند.
تکنیک
[ویرایش]بهطور کل سیستم تشخیص نفوذ مبتنی بر میزبان از پایگاه دادهای از اشیا سیستمی که باید تحت نظارت داشته باشد استفاده میکند. سیستم تشخیص نفوذ مبتنی بر میزبان باید نواحی ویژهای از حافظه را که تغییر نکردهاند را تحت کنترل داشته باشد مثلاً جدول فراخوانی سیستمی در لینوکس یا ساختارهای جدولی مختلف در مایکروسافت ویندوز. یک سیستم تشخیص نفوذ مبتنی بر میزبان تمام مشخصههای یک شی را بخاطر میسپارد مثلاً سطوح دسترسی یا اندازه و تاریخهای تغییر آنها. سپس برای هر کدام از محتواها یک چکسام از انواع مختلف مثلاً MD5 یا SHA1 تولید میکند و این اطلاعات جهت مقایسههای آتی در یک پایگاه داده امن ذخیره میشود.
عملیات
[ویرایش]در زمان نصب و هر موقع که یک شی تحت نظارت به صورت قانونی تغییر میکند یک سیستم تشخیص نفوذ مبتنی بر میزبان باید به وسیلهٔ اسکن کردن اشیا مرتبط عملیات چکسام پایگاه داده را آغاز نماید. افرادی که مسوول برقراری امنیت در سیستمهای کامپیوتری هستند باید این عملیات را شدیداً کنترل کنند تا مانع از تغییر غیرقانونی پایگاه دادهها بوسله هکرها شوند. چنین عملیاتهایی زمان بسیار طولانی نیاز دارد و همچنین نیازمند استفاده از رمزنگاریهایی جهت تحت نظارت قرار دادن پایگاه دادههایی از چکسامها میباشد.
محافظت سیستم تشخیص نفوذ مبتنی بر میزبان
[ویرایش]سیستمهای تشخیص نفوذ مبتنی بر میزبان به طولهای بزرگی جهت جلوگیری از تغییر پایگاه دادههای اشیا و چکسامها نیاز دارد و به عنوان هر نوع دستکاری گزارش میشود. بعد از همه اینها اگر هکرها در تغییر دادن اشیا تحت نظارت سیستمهای تشخیص نفوذ مبتنی بر میزبان موفق بودند هیچ چیزی نمیتواند جلودار تغییر دادن خود سیستمهای تشخیص نفوذ مبتنی بر میزبان شوند. مگر اینکه مدیران امنیتی اقدامات مناسبی را انجام دهند؛ مثلاً تعداد زیادی از ویروسها و کرمها میتوانند به تغییر ابزارهای ضدویروس بپردازند.
منابع
[ویرایش]پیوند به بیرون
[ویرایش]- ↑ خطای یادکرد: خطای یادکرد:برچسب
<ref>
غیرمجاز؛ متنی برای یادکردهای با نامnewman2009
وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.). - ↑ خطای یادکرد: خطای یادکرد:برچسب
<ref>
غیرمجاز؛ متنی برای یادکردهای با نامcn31_8_805
وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.). - ↑ خطای یادکرد: خطای یادکرد:برچسب
<ref>
غیرمجاز؛ متنی برای یادکردهای با نامcox_gerg2004
وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).