تشخيص و جلوگيري از نفوذ (Intrusion Detection and Prevention) امروزه به عنوان يكي از مكانيزمهاي اصلي در برآوردن امنيت شبكهها و سيستمهاي كامپيوتري مطرح است. زماني كه براي اولين بار ايده استفاده از اين سيستمها مطرح گرديد، به دليل بار پردازشي فراوان تنها مورد استقبال محيطهاي نظامي و تجاري مهم قرار گرفت. امروزه با پيشرفت چشمگير در طراحي و توليد سختافزارها و مدارهاي خاص منظوره (ASIC) و توسعه معماريهاي نوين در طراحي و توليد نرمافزارها امكان استفاده از اين ايده و تكنولوژي براي طيف گستردهاي از سيستمهاي كامپيوتري امكانپذير شده است.
امروزه ديگر سيستمهاي تشخيص نفوذ را به عنوان سيستمهايي مجزا در نظر نميگيريم بلكه اين سيستمها به عنوان زيرسيستمهايي از تجهيزات شبكه، سيستمهاي عامل و حتي سرويسها قابل بهكارگرفته ميشوند. هدف در اين مقاله بررسي اين تكنولوژي به عنوان راه آينده در امنسازي و مديريت سيستمهاي كامپيوتري در آيندهاي نزديك است. بر اين اساس در قسمت اول به تاريخچه اين سيستمها ميپردازيم. بررسي رويكردهاي نوين در تشخيص و ممانعت از نفوذ و آينده اين تكنولوژي عناوين شمارههاي بعدي اين بحث خواهد بود.
تاريخچه
بعد از سال 1970 و با افزايش سرعت، حوزه كاربرد و تعداد كامپيوترها نياز به امنيت كامپيوتري بيش از پيش آشكار شد. در اين سالها بود كه سازمان ملي استانداردهاي آمريكا (US National Bureau of Standards) گردهمآيي با حضور دولت مردان و سازمانهاي نظارت بر تجارت برگزار كرد كه حاصل آن گزارشي بيانگر وضعيت بازرسي و امنيت در زمينههاي الكترونيكي- تجاري بود. در همان زمان وزارت دفاع آمريكا (US Department Of Defence (DOD))، متوجه افزايش استفاده از كامپيوترها در سيستمهاي نظامي و در نتيجه آن اهميت امنيت اين سيستمها شد. بررسي اين موضوع به جيمز «پي اندرسون» واگذار گرديد. جيمز پي اندرسون به عنوان نخستين فردي كه نياز به بررسي خودكار وقايع ثبت شده در سيستم در جهت اهداف امنيتي را مطرح كرد، شناخته ميشود. اندرسون در سال 1980 گزارشي ارائه داد كه از آن به عنوان ابتدائيترين فعاليت در زمينه تشخيص نفوذ ياد ميشود.
در اين گزارش او تغييراتي را در نحوه ثبت وقايع سيستم و بررسي آنها، در جهت فراهم آوردن اطلاعات مورد نياز پرسنل امنيتي براي رديابي مشكلات امنيتي، پيشنهاد كرد. در همين گزارش بود كه مفهوم كاهش اطلاعات ثبت شده، حذف ركوردهاي زيادي و بيربط از اطلاعات، بيان شد. به صورتي كه در شماره سوم مقاله توضيح خواهيم داد ايده اصلي سيستمهاي Log/Alert Correlation از اين مفهوم نشات ميگيرد.
IDES
از 1984 تا 1986 دوروتي دنينگ و پيتر نيومن تحقيقات و طراحي IDES كه يك سيستم تشخيص نفوذ بلادرنگ (Real-Time) بود به انجام رسانيدند. اين تحقيق كه تحت حمايت SPAWARS (Space And Naval Warfare Systems) انجام شد، از هر دو رويكرد ناهنجاري و سوء استفاده كه در شماره بعدي مقاله آنها را توضيح خواهيم داد، استفاده ميكرد. تحقيق انجام شده به عنوان پايهاي براي بسياري از تحقيقات انجام شده در زمينه تشخيص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنينگ در سال 1987 روي اين موضوع به عنوان يكي ديگر از كارهاي اوليه در زمينه تشخيص نفوذ، مطرح است. مدل ارائه شده توسط دنينگ و نيومن در مؤسسه SRI و بين سال هاي 1986 تا 1992 در طراحي نسخه كاربردي IDES بكار گرفته شد.
پروژه بررسي خودكار رويدادها
در 1984 تا 1985، يك گروه تحقيقاتي در سايتك( Sytek) اداره يكي از پروژههاي تحت حمايت SPAWARS را بر عهده گرفت. پروژه بررسي خودكار رويدادها منتج به يك سيستم نمونه شد كه از دادههاي جمعآوري شده از پوسته سيستمعامل UNIX استفاده ميكرد. سپس دادهها پس از ذخيرهسازي در يك پايگاه دادهها مورد بررسي قرار ميگرفتند. اين پروژه بر قابليت سيستمهاي تشخيص نفوذ در جدا كردن استفادههاي نرمال و غيرنرمال از سيستمهاي كامپيوتري، تمركز داشت.
سيستم Discovery
Discovery يك سيستم خبره بود كه براي تشخيص و جلوگيري از مشكلات موجود در پايگاه داده بر خط TRW طراحي شد. اين سيستم از آن جهت كه بجاي تمركز بر سيستم عامل براي تشخيص نفوذ در يك پايگاه داده بكار گرفته شد، از نظر تحقيقات و پيادهسازي با ديگر سيستمهاي ارائه شده تا آن زمان تفاوت داشت. رويكرد ناهنجاري و سوء استفاده كه در شماره بعدي مقاله آنها را توضيح خواهيم داد، استفاده ميكرد. تحقيق انجام شده به عنوان پايهاي براي بسياري از تحقيقات انجام شده در زمينه تشخيص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنينگ در سال 1987 روي اين موضوع به عنوان يكي ديگر از كارهاي اوليه در زمينه تشخيص نفوذ، مطرح است. مدل ارائه شده توسط دنينگ و نيومن در مؤسسه SRI و بين سال هاي 1986 تا 1992 در طراحي نسخه كاربردي IDES بكار گرفته شد.
پروژه بررسي خودكار رويدادها
در 1984 تا 1985، يك گروه تحقيقاتي در سايتك اداره يكي از پروژههاي تحت حمايت SPAWARS را بر عهده گرفت. پروژه بررسي خودكار رويدادها منتج به يك سيستم نمونه شد كه از دادههاي جمعآوري شده از پوسته سيستمعامل UNIX استفاده ميكرد. سپس دادهها پس از ذخيرهسازي در يك پايگاه دادهها مورد بررسي قرار ميگرفتند. اين پروژه بر قابليت سيستمهاي تشخيص نفوذ در جدا كردن استفادههاي نرمال و غيرنرمال از سيستمهاي كامپيوتري، تمركز داشت.
سيستم Haystack
كار اوليه روي اين سيستم بين سالهاي 1987 تا 1989 در TAS و از سال هاي 1989 تا 1991 در آزمايشگاههاي Haystack براي نيروي هوايي ارتش امريكا و بخش CSC (Cryptologic Support Center) آن انجام شد. اين سيستم براي تشخيص نفوذگران داخلي بخش SBLC نيروي هوايي بكار گرفته شد. كامپيوترهاي اين بخش، مينفرمهاي Sperry 1100/60 با سيستم عاملهاي قديمي دهة 70 بودند كه براي پردازش خاص بر روي دادهها استفاده ميشدند.
سيستم MIDAS
اين سيستم توسط مركز ملي امنيت كامپيوتري (National Computer Security Center) ارائه شد كه وظيفه آن نظارت بر سيستم Dockmaster اين مركز كه از سيستمعامل امن Honey DPS 8170 استفاده ميكرد، بود. بنابراين MIDAS (Multics Intrusion Detection and Alerting System) به گونهاي طراحي شده بود كه از رويدادهاي ثبت شده توسط Dockmaster استفاده كند. خود سيستم به رويدادهاي ثبت شده اطلاعات ديگر استخراج شده از سيستم را اضافه ميكرد. اين سيستم يكي از اولين سيستمهايي است كه سيستم مورد نظارت آن به اينترنت متصل بود.
سيستم NADIR
اين سيستم توسط شاخه محاسبات آزمايشگاه ملي لوس آلاموس براي نظارت بر فعاليتهاي كاربر روي يك شبكه محاسبات مجتمع در لوس آلاموس بكار گرفته شد. NADIR (Network Anomaly Detector and Intrusion Reporter) نظارت بر شبكه را با پردازش رد وقايع توليد شده توسط نودهاي خاص شبكه انجام ميداد. اين سيستم براي اجرا روي ايستگاههاي كاري UNIX طراحي شده بود و مانند بسياري ديگر از سيستمهاي آن زمان از يك سيستم خبره و يك آناليزگر آماري همزمان استفاده ميكرد.
سيستم NSM
سيستم NSM (Network System Monitor) براي اجرا روي سيستم هاي SUN UNIX در دانشگاه كاليفرنيا طراحي شد. NSM اولين سيستمي بود كه بردادههاي شبكه نظارت ميكرد و منبع اصلي آن براي تشخيص دادههاي استخراج شده از ترافيك شبكه بود. قبل از اين منابع مورد استفاده توسط سيستمهاي تشخيص نفوذ اطلاعات دريافتي از سيستم عامل و رد وقايع ثبت شده در سيستم و همچنين اطلاعات دريافتي از نرمافزارهاي ناظر صفحه كليد بود. سيستمهايي كه معرفي شدند به عنوان ريشه تحقيقاتي كه منجر به طراحي سيستمهاي تجاري و متنباز فعلي گرديد مطرح ميباشند. در شماره بعدي مقاله ضمن اشاره به رويكردهاي تشخيص نفوذ به بررسي وضعيت فعلي اين سيستمها ميپردازيم.
منبع: امن افزارگستر شريف