‫دانشگاه صنعتی شریف‬
‫دانشکده مهندسی کامپیوتر‬
‫آزمایشگاه امنیت داده و شبکه‬
‫‪http://dnsl.ce.sharif.edu‬‬
‫درس ‪ :13‬سیستم تشخیص نفوذ (‪)IDS‬‬
‫محمد صادق دوستی‬
‫‪1 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫‪ ‬مقدمه و تعاریف اولیه‬
‫‪ ‬رده‌بندی‌و‌مشخصات‌سیستم‌های‌تشخیص‌‬
‫نفوذ‬
‫‪ ‬پیادهسازی‌سیستمهای‌تشخیص‌نفوذ‬
‫‪ ‬معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه‬
‫‪ ‬مکمل‌سیستمهای‌تشخیص‌نفوذ‬
‫‪2 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سیستم تشخیص نفوذ‬
‫‪ ‬تشخیص نفوو )‪ :(ID‬فرآینود ناوا ب ور وعوای‬
‫د داده د یو‬
‫شبکه و یا سیستم کوامپیوتر د ههوت کشوف مووا د انحورا از‬
‫سیاستها امنیتی‪.‬‬
‫‪ ‬سیستم تشخیص نفو )‪ :(IDS‬ی‬
‫نرمافزا وا عا ییوت تشوخیص‬
‫آشکا ساز و پاسخ (واکنش) ه فعالیت ها غیرمجاز یوا ناهنجوا‬
‫د ا طه ا سیستم‪.‬‬
‫‪ ‬تحقیقاب و توسعه آن از سال ‪ 1980‬ه عد‬
‫‪3 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫وظایف عمومی یک ‪IDS‬‬
‫‪ ‬ناا ب و تحییل فعالیتها شبکه سیستم و کا ر‬
‫‪ ‬تشخیص الگوها منطبق ا حمالب شناخته شده‬
‫‪ ‬تحییل الگوها فعالیت ناهنجا‬
‫‪4 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫دالیل استفاده از سیستمهای تشخیص نفوذ‬
‫‪ ‬تشخیص و ثبت تهدیداب موهود را ی‬
‫سازمان‬
‫‪ ‬هیوگیر از کامل شدن حمالب ا تشخیص د مراحل اولیه‬
‫‪ ‬هیوگیر از تکرا حمالب مشا ه ا آگاهی سانی د مو د حمالب‬
‫کشف شده‬
‫‪ ‬هم آو‬
‫اطالعاب مفید د ا ه حمالب و نفو ها اتفاق افتاده‬
‫‪ ‬فراهمساز امکان عیبیا ی (شناخت آسیبپوییر هوا) کشوف و‬
‫تصحیح عاملها سبب شونده‬
‫‪5 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫‪ ‬مقدمه‌و‌تعاریف‌اولیه‬
‫‪ ‬ردهبندی و مشخصات سیستمهای‬
‫تشخیص نفوذ‬
‫‪ ‬پیادهسازی‌سیستمهای‌تشخیص‌نفوذ‬
‫‪ ‬معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه‬
‫‪ ‬مکمل‌سیستمهای‌تشخیص‌نفوذ‬
‫‪6 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫آرایش قرارگیری سنسور ‪ IDS‬در شبکه‬
‫‪7 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫معماری یک ‪IDS‬‬
‫ترافی‬
‫ویدادنامه ها‬
‫شبکه‬
‫پیشپردازنده‬
‫فراهمکننده دادهها‬
‫)‪(Preprocessor‬‬
‫)‪(Data Provider‬‬
‫فتا ها‬
‫حمیه یا نرمال‬
‫پاسخدهی‬
‫)‪(Response‬‬
‫‪8 / 36‬‬
‫موتو تحییل و تشخیص‬
‫)‪(Analysis & Detection Engine‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫ردهبندی کلی سیستمهای تشخیص نفوذ‬
‫تشخیص سوءاستفاده‬
‫تشخیص ناهنجا‬
‫وش تحییل‬
‫مبتنی ر رنامه کا رد‬
‫مبتنی ر میز ان‬
‫مبتنی ر شبکه‬
‫منب اطالعاب‬
‫فعال‬
‫منفعل‬
‫واکنش ه نفو‬
‫ید نگ‬
‫دو ها‬
‫زمانبند تحییل‬
‫متمرکز‬
‫توزی شده‬
‫‪9 / 36‬‬
‫معما‬
‫سیستم تشخیص‬
‫نفو‬
‫سیستم‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫جمعآوری اطالعات‬
‫‪ ‬عمییاب هم آو‬
‫داده از ی‬
‫منب اطالعواتی و تحویول آنهوا وه‬
‫پیشپردازنده و موتو تحییل‬
‫‪ ‬مبتنی ر شبکه (‪)NIDS‬‬
‫‪ ‬مبتنی ر میز ان (‪:)HIDS‬‬
‫‪‬دنبالهها ممیز سیستمعامل (‪ )Audit Trail‬ویدادناموههوا‬
‫(‪)Logs‬‬
‫‪ ‬مبتنی ر رنامه کا رد‬
‫‪‬‬
‫‪10 / 36‬‬
‫ویدادنامه پایگاهدادهها ویدادنامه کا گزا وب‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫جمعآوری اطالعات (ادامه)‬
‫‪ ‬تشخیص نفو مبتنی ر شبکه‬
‫‪ ‬مزایا‪:‬‬
‫‪‬عا ییت ناا ب ر ی‬
‫شبکه ز گ‬
‫‪‬عدم تداخل ا عمیکرد معمولی شبکه‬
‫‪‬عا ییت مخفی نگهداشته شدن از دید مهاهمان‬
‫‪ ‬معایب‪:‬‬
‫‪‬عدم عمیکرد صحیح د ترافی‬
‫سنگین‬
‫‪‬عدم توانایی د تحییل اطالعاب مز شده (مانند ‪)VPN‬‬
‫‪11 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫جمعآوری اطالعات (ادامه)‬
‫‪ ‬ناا ب مبتنی ر میز ان‬
‫‪ ‬مزایا‪:‬‬
‫‪‬کشف حمالتی که از طریق شبکه عا ل شناسایی نیستند‪.‬‬
‫‪‬عا ییت عمل د محیطی که ترافی‬
‫شبکه د آن مز شده‬
‫‪ ‬معایب‪:‬‬
‫‪‬امکان غیرفعال شدن سیستم د خشی از حمیه‬
‫‪‬نیاز ه انبا ه زیاد را‬
‫خیره اطالعاب‬
‫‪‬سر ا محاسباتی را میز ان‬
‫‪12 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫زمانبندی تحلیل‬
‫‪ ‬زمانبند (‪ :)Timing‬فاصیه زمانی ین خوداد وعوای د منبو‬
‫اطالعاب تا تحییل آنها توسط موتو تحییل‬
‫‪ ‬زمانبند دستها یا دو ها )‪(Batch‬‬
‫‪‬کشف نفو پس از وعوع عدم امکان پاسخگویی فعال‬
‫‪ ‬زمان ند‬
‫ید نگ (‪)Real-time‬‬
‫‪‬تشخیص نفو ه محض وعوع و یا حتی عبول از آن وهوود امکوان‬
‫پاسخگویی فعال و پیشگیر از نفو‬
‫‪13 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تحلیل و تشخیص‬
‫‪ ‬تشخیص سوء استفاده (‪)Misuse Detection‬‬
‫‪‬عالئم حمیه (‪)Attack Signatures‬‬
‫‪ ‬تشخیص ناهنجا‬
‫‪‬‬
‫‪14 / 36‬‬
‫(‪)Anomaly Detection‬‬
‫فتا غیرنرمال‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تشخیص سوء استفاده‬
‫‪ ‬مشخصاب‬
‫‪‬شناخت حمالب موهود‬
‫‪‬تعریف الگو حمالب را موتو تحییل‬
‫‪‬هستجو مجموعها از وعای که ا یو‬
‫الگوو از پویش تعریوف‬
‫شده مطا قت دا د‪.‬‬
‫‪‬نیاز ه روز سانی الگوها حمیه‬
‫‪‬‬
‫وشها پیادهساز ‪ :‬سیستم خبره وشها مبتنی ر گیا حاالب‬
‫و ‪...‬‬
‫‪15 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تشخیص ناهنجاری‬
‫‪ ‬مشخصاب‬
‫‪‬شناخت عمیکرد نرمال سیستم‬
‫‪‬تهیه نمایههایی از فتا نرمال سیستم را موتو تحییل‬
‫‪‬هستجو فعالیت غیر نرمال‬
‫‪ ‬آیا هر فتا غیر نرمال ی‬
‫‪‬‬
‫‪16 / 36‬‬
‫حمیه است؟‬
‫وشها پیادهساز ‪ :‬وشها آما‬
‫امنیت داده و شبکه‬
‫شبکهها عصبی و ‪...‬‬
‫محمد صادق دوستی‬
‫تحلیل و تشخیص (مقایسه)‬
‫تشخیص سوءاستفاده‬
‫‪Misuse Detection‬‬
‫تشخیص فقط د حد حمالب شناخته شده‬
‫تشخیص سری و مطمئن ا خطا کمتر‬
‫تشخیص ناهنجا‬
‫‪Anomaly Detection‬‬
‫تشخیص حمالب ناشناخته‬
‫اال ودن د صد خطا مثبت غیط‬
‫‪ ‬مثبووت غیووط (‪ :)False Positive‬تشووخیص ناد سووت ترافیو‬
‫خوب ه عنوان حمیه‬
‫‪ ‬منفی غیوط (‪ :)False Negative‬تشوخیص ناد سوت ترافیو‬
‫حمیه ه عنوان خوب‬
‫‪17 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫ترکیب دو نوع موتور تحلیل‬
‫‪‬‬
‫نما ی‬
‫سیستم تشخیص نفو ترکیبی‬
‫منب اطالعاب‬
‫تشخیصدهنده سوءاستفاده‬
‫تشخیصدهنده ناهنجا‬
‫(موتو انطباق الگو)‬
‫(موتو پروفایل)‬
‫پروفایلها‬
‫‪18 / 36‬‬
‫پاسخدهنده‬
‫امنیت داده و شبکه‬
‫الگو‬
‫حمالب‬
‫محمد صادق دوستی‬
‫واکنش به نفوذ‬
‫‪ ‬فعال (‪ :)Active‬د صو ب تشخیص حمیه انجوام رخوی اعموال‬
‫واکنشی ه صو ب خودکا‬
‫‪‬انجام عمیی عییه مهاهم (مثال انسداد دسترسی مهاهم)‬
‫‪‬هم آو‬
‫اطالعاب یشتر‬
‫عنوان دیگر ‪IDS‬ها فعال‪:‬‬
‫سیستمها هیوگیر از نفو (‪)IPS‬‬
‫‪ ‬منفعل (‪ :)Passive‬گزا ش ه مدیران و واگیا‬
‫واکنش ه آنها‬
‫‪‬نمایش پیغام ر و صفحه‬
‫‪‬ا سال پست الکترونیکی ‪ /‬پیام‬
‫‪19 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫‪ ‬مقدمه‌و‌تعاریف‌اولیه‬
‫‪ ‬رده‌بندی‌و‌مشخصات‌سیستم‌های‌تشخیص‌‬
‫نفوذ‬
‫‪ ‬پیادهسازی سیستمهای تشخیص نفوذ‬
‫‪ ‬معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه‬
‫‪ ‬مکمل‌سیستمهای‌تشخیص‌نفوذ‬
‫‪20 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫روشهای پیادهسازی تشخیص سوءاستفاده‬
‫‪‬‬
‫سیستم خبره (‪)Expert System‬‬
‫‪‬سازوکا‬
‫را پردازش حقایق و اسوتنتا نتوایم منطقوی از ایون‬
‫حقایق ا توهه ه زنجیرها از عواعد‬
‫عواعد‬
‫حقایق‬
‫‪21 / 36‬‬
‫الگوها یا سنا یوها نفو‬
‫وعای‬
‫امنیت داده و شبکه‬
‫دداده د سیستم‬
‫محمد صادق دوستی‬
‫روشهای پیادهسازی تشخیص سوءاستفاده‬
‫‪ ‬مزایا‬
‫‪‬ا ائه حمالب د عالب عواعد توسط کا ر دون نیاز ه دانستن نحوه‬
‫عمیکرد سیستم خبره‬
‫‪‬امکان اضافه کردن عواعد هدید دون تغییر عواعد عبیی‬
‫‪ ‬معایب‬
‫‪‬کا آیی پایین نامناسب را حجم زیاد دادهها‬
‫‪‬نامناسب را‬
‫‪22 / 36‬‬
‫یان ترتیب د عواعد‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫روشهای پیادهسازی تشخیص سوءاستفاده‬
‫وشها مبتنی ر گیا حالت (‪)State Transition‬‬
‫‪‬‬
‫‪‬استفاده از مفهوم حالت سیستم و گویا (مودلها گرافیکوی نایور‬
‫شبکهها ما کو ‪ /‬یز )‬
‫‪‬استفاده از تکنی ها انطباق الگو‬
‫‪‬سرعت و عا ییت‬
‫الگو‬
‫‪23 / 36‬‬
‫حمیه ‪ :‬حالت امن اولیه‬
‫عمییاب‬
‫کیید‬
‫امنیت داده و شبکه‬
‫حالت خطرناک نهایی‬
‫محمد صادق دوستی‬
‫روشهای پیادهسازی تشخیص ناهنجاری‬
‫‪ ‬تحییل کمّی‪ :‬یان نمایه ا معیا ها عدد‬
‫‪‬تعداد مجاز و ود ناموفق را کا ر ‪ n A‬است‪.‬‬
‫‪ ‬تحییل آما ‪ :‬یان نمایه ا معیا ها آما‬
‫‪‬و ودها ناموفق را کوا ر ‪ A‬از یو‬
‫انحرا معیا ‪ ‬پیرو میکند‪.‬‬
‫توزیو نرموال وا میوانگین ‪ ‬و‬
‫‪Haystack NIDES IDES‬‬
‫‪ ‬دادهکاو ‪ :‬دسته ند (‪ )classification‬فتا ها ر حسوب نرموال و‬
‫غیرنرمال‬
‫‪24 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫مقایسه پروفایل رفتار کاربر مجاز و مهاجم‬
‫کا ر مجاز‬
‫مهاهم‬
‫همپوشانی فتا ها‬
‫میانگین فتا‬
‫مهاهم‬
‫‪25 / 36‬‬
‫میانگین فتا‬
‫کا ر مجاز‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫‪ ‬مقدمه‌و‌تعاریف‌اولیه‬
‫‪ ‬رده‌بندی‌و‌مشخصات‌سیستم‌های‌تشخیص‌‬
‫نفوذ‬
‫‪ ‬پیادهسازی‌سیستمهای‌تشخیص‌نفوذ‬
‫‪ ‬معرفی چند سیستم تشخیص نفوذ نمونه‬
‫‪ ‬مکمل‌سیستمهای‌تشخیص‌نفوذ‬
‫‪26 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سیستم ‪Snort‬‬
‫‪ ‬متن از و ایگان‬
‫‪ ‬مبتنی ر شبکه (‪)NIDS‬‬
‫‪ ‬تشخیص سوءاستفاده‬
‫‪ ‬حاو الگو هزا ان نوع حمیه‬
‫‪27 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫نمونه خروجی ‪Snort‬‬
‫‪28 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سیستم ‪OSSEC‬‬
‫‪ ‬متن از و ایگان‬
‫‪ ‬مبتنی ر میز ان (‪)HIDS‬‬
‫‪ ‬امکان تحییل ویدادنامه کنترل صوحت مانیتو ینوگ هیسوتر‬
‫(ویندوز) و تشخیص ‪rootkit‬‬
‫‪ ‬عا ییت ه کا گیر د سیسوتمهوا عامولهوا مختیوف (ماننود‬
‫‪ Mac OS FreeBSD Linux‬و ‪)Windows‬‬
‫‪29 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
OSSEC ‫نحوه کار‬
log security
events
alerts.log
encrypted logs
UDP port 1514
tail –f /var/ossec/alerts/alerts.log
decode logs
generate alerts
OSSEC
Agents
Notifications
OSSEC
Server
syslog
encrypted logs
UDP port 1514
log security
events
‫محمد صادق دوستی‬
‫امنیت داده و شبکه‬
30 / 36
‫داشبورد ‪Splunk for OSSEC‬‬
‫‪31 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫فهرست مطالب‬
‫‪ ‬مقدمه‌و‌تعاریف‌اولیه‬
‫‪ ‬رده‌بندی‌و‌مشخصات‌سیستم‌های‌تشخیص‌‬
‫نفوذ‬
‫‪ ‬پیادهسازی‌سیستمهای‌تشخیص‌نفوذ‬
‫‪ ‬معرفی‌چند‌سیستم‌تشخیص‌نفوذ‌نمونه‬
‫‪ ‬مکمل سیستمهای تشخیص نفوذ‬
‫‪32 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫ترکیب با سیستمهای تله‬
‫‪ ‬سیستم تیهعسل (‪ :)Honeypot‬اغفال و فریوب مهواهم ههوت‬
‫هم آو‬
‫اطالعاب یشتر از نحوة عمیکرد آن‪.‬‬
‫‪ ‬د حال حاضر یشتر را هم آو‬
‫دافزا ها استفاده میشود‪.‬‬
‫‪ ‬امکان استفاده از سیستمها تشوخیص ناهنجوا‬
‫ترافی‬
‫‪33 / 36‬‬
‫ورا هودایت‬
‫مشکوک ه تیهها‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫تحلیل همبستگی هشدارها‬
‫‪ ‬سیستم همبستهساز هشدا ها (‪)Alert Correlation‬‬
‫‪ ‬سیستمی ورا تحییول همبسوتگی وین ویودادها ثبوت شوده‬
‫(هشدا ها تولید شده) توسط سیستمها تشخیص نفو‬
‫‪ ‬اهدا ‪:‬‬
‫‪‬کاهش حجم هشدا ها و اعالنها‬
‫‪‬وا سی صحت هشدا ها‬
‫‪‬استخرا حمالب چند مرحیها‬
‫‪34 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫سیستم اخطار زودرس (‪)EWS‬‬
‫‪Warning System‬‬
‫‪ Early‬‬
‫‪ ‬پیش ینی حمالب عبل از وعوع‬
‫‪ ‬ر اساس هم آو‬
‫و همبستهساز هشدا ها از منا متعدد‬
‫‪ ‬مثال‪( DeepSight :‬محصول ‪)Symantec‬‬
‫‪‬هم آو‬
‫اطالعاب از شبکهها هزا ان مشتر‬
‫‪‬هوور مشووتر موویتوانوود اطالعوواب شووبکه خووود ا د پو تووال‬
‫‪ DeepSight‬مشاهده نماید‪.‬‬
‫‪‬د صو ب حمیه ه ی‬
‫‪35 / 36‬‬
‫مشتر‬
‫سایرین ه سرعت مطی میشوند‪.‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬
‫پایان‬
‫صفحه د س‪:‬‬
‫‪http://ce.sharif.edu/courses/94-95/2/ce442-1/‬‬
‫مراهعه حضو‬
‫ههت ف اشکال‪ :‬یکشنبهها ‪ 17‬الی ‪18‬‬
‫(طبقه پنجم دانشکده د ب شیشها هنب آسانسو )‬
‫یا د زمانها دیگر ا عرا عبیی‬
‫یا ه وسییه ایانامه‪dousti@ce :‬‬
‫‪36 / 36‬‬
‫امنیت داده و شبکه‬
‫محمد صادق دوستی‬