النظام الذي يحاول تحديد محاولات الإختراق أو اقتحام نظام الكمبيوتر أو إساءة استخدامه. قد رصد الحزم المارة عبر الشبكة، ومراقبة ملفات النظام، ورصد ملفات السجل، أو وضع أنظمة الخداع التي تحاول اعتراض المتسللين.
أصبحت أنظمة الكمبيوتر أكثر عرضة للتدخلات من أي وقت مضى. كشف التسلل هو تقنية الأمان الذي يسمح ليس فقط للكشف عن الهجمات، ولكن
يحاول تقديم إخطار من هجمات جديدة غير متوقعة من قبل الآخرين
المكونات. كشف التسلل هو عنصر هام من نظام أمني،
ويكمل التقنيات الأمنية الأخرى.
أصبحت أنظمة الكمبيوتر أكثر عرضة للتدخلات من أي وقت مضى. كشف التسلل هو تقنية الأمان الذي يسمح ليس فقط للكشف عن الهجمات، ولكن
يحاول تقديم إخطار من هجمات جديدة غير متوقعة من قبل الآخرين
المكونات. كشف التسلل هو عنصر هام من نظام أمني،
ويكمل التقنيات الأمنية الأخرى.
في حين أن هناك عدة أنواع من يدك، والأنواع الأكثر شيوعا تعمل نفس الشيء.
يقومون بتحليل حركة مرور الشبكة وملفات السجل لأنماط معينة. أي نوع من
أنماط قد تسأل؟ في حين أن جدار الحماية ومنع القراصنة باستمرار من الاتصال بالشبكة، ومعظم الجدران النارية أبدا تنبيه مسؤول.
مسؤول قد تلاحظ اذا كان / انها يتحقق سجل وصول من جدار الحماية، ولكن
التي يمكن أن تكون أسابيع أو حتى أشهر بعد الهجوم. هذا هو المكان الذي يأتي لIDS
في اللعب. يتم تسجيل محاولات لتمرير من خلال جدار الحماية، وسوف IDS تحليل السجل الخاص به. في بعض نقطة في سجل وسوف يكون هناك عدد كبير من الطلب، رفض
مقالات. ومن شأن IDS العلم الأحداث وتنبيه مسؤول. المسؤول
ويمكن بعد ذلك نرى ما يحدث مباشرة بعد أو حتى أثناء الهجمات لا تزال جارية. وهذا يعطي مسؤول ميزة كونها قادرة على تحليل التقنيات المستخدمة، مصدر الهجمات، والأساليب المستخدمة من قبل القراصنة.
يقومون بتحليل حركة مرور الشبكة وملفات السجل لأنماط معينة. أي نوع من
أنماط قد تسأل؟ في حين أن جدار الحماية ومنع القراصنة باستمرار من الاتصال بالشبكة، ومعظم الجدران النارية أبدا تنبيه مسؤول.
مسؤول قد تلاحظ اذا كان / انها يتحقق سجل وصول من جدار الحماية، ولكن
التي يمكن أن تكون أسابيع أو حتى أشهر بعد الهجوم. هذا هو المكان الذي يأتي لIDS
في اللعب. يتم تسجيل محاولات لتمرير من خلال جدار الحماية، وسوف IDS تحليل السجل الخاص به. في بعض نقطة في سجل وسوف يكون هناك عدد كبير من الطلب، رفض
مقالات. ومن شأن IDS العلم الأحداث وتنبيه مسؤول. المسؤول
ويمكن بعد ذلك نرى ما يحدث مباشرة بعد أو حتى أثناء الهجمات لا تزال جارية. وهذا يعطي مسؤول ميزة كونها قادرة على تحليل التقنيات المستخدمة، مصدر الهجمات، والأساليب المستخدمة من قبل القراصنة.
يلي أنواع من أنظمة كشف التسلل: -
1) اقتحام المضيف المستندة إلى نظام لكشف (HIDS): كشف التسلل القائم على المضيف
يتم تثبيت الأنظمة أو HIDS كوكلاء على المضيف. ويمكن لهذه أنظمة كشف التسلل النظر في النظام والملفات سجل التطبيق للكشف عن أي نشاط الدخيل.
2) تطفل على الشبكة المستندة إلى نظام لكشف (المخطوطات): هذه يدك كشف الهجمات من خلال التقاط وتحليل حزم الشبكة. الاستماع على قطعة الشبكة أو
التبديل، ويمكن للمرء أن IDS المستندة إلى شبكة رصد حركة مرور الشبكة التي تؤثر متعددة
الأجهزة المضيفة التي ترتبط قطعة الشبكة، وبالتالي حماية تلك المضيفين. غالبا ما تتكون يدك المستندة إلى شبكة من مجموعة من أجهزة الاستشعار غرض واحد أو المضيفين وضعها
في نقاط مختلفة في الشبكة. هذه الوحدات مراقبة حركة الشبكة، وأداء التحليل المحلي للأن هجمات حركة المرور والإبلاغ إلى وحدة تحكم الإدارة المركزية.
>> بعض الموضوعات المهمة يأتي في إطار كشف التسلل هي كما يلي: -
1) التوقيعات: التوقيع هو النمط الذي تبحث داخل حزمة بيانات. ويستخدم التوقيع للكشف عن أنواع واحدة أو متعددة من الهجمات. على سبيل المثال،
بحضور "مخطوطات / IISADMIN" في حزمة ذاهب إلى خادم الويب الخاص بك قد تشير
النشاط الدخيل. قد تكون التوقيعات موجودة في أجزاء مختلفة من حزم البيانات اعتمادا على طبيعة الهجوم.
2) تنبيهات: تنبيهات هي أي نوع من إعلام المستخدم لنشاط الدخيل. عندما يكشف IDS متسلل، فقد لإبلاغ مدير الأمن حول هذا باستخدام التنبيهات.
قد يكون التنبيهات في شكل النوافذ المنبثقة، وقطع الأشجار إلى وحدة تحكم، وإرسال البريد الإلكتروني وهلم جرا. يتم تخزين التنبيهات أيضا في ملفات السجل أو قواعد البيانات حيث يمكن أن ينظر إليها في وقت لاحق من قبل خبراء الأمن.
3) سجلات: عادة ما يتم حفظ رسائل سجل في رسائل file.Log يمكن انقاذه
إما في شكل نص أو ثنائي.
4) إنذارات كاذبة: إنذارات كاذبة هي التنبيهات المتولدة بسبب إشارة إلى أن ليس
النشاط الدخيل. على سبيل المثال، قد المضيفين الداخلية يضبط بث الرسائل في بعض الأحيان أن يؤدي إلى حكم مما أدى إلى توليد حالة تأهب كاذبة.
بعض أجهزة التوجيه، مثل الموجهات الرئيسية لينكسيس، تولد الكثير من التنبيهات بنب ذات الصلة. إلى
تجنب الانذارات الكاذبة، لديك لتعديل وضبط قواعد افتراضية مختلفة. في بعض
الحالات التي قد تحتاج إلى تعطيل بعض القواعد لتجنب الانذارات الكاذبة.
5) الاستشعار: ويطلق على الجهاز الذي نظام كشف التسلل أيضا تشغيل أجهزة الاستشعار في الأدب لأنه يستخدم ل"بمعنى" الشبكة.
1) اقتحام المضيف المستندة إلى نظام لكشف (HIDS): كشف التسلل القائم على المضيف
يتم تثبيت الأنظمة أو HIDS كوكلاء على المضيف. ويمكن لهذه أنظمة كشف التسلل النظر في النظام والملفات سجل التطبيق للكشف عن أي نشاط الدخيل.
2) تطفل على الشبكة المستندة إلى نظام لكشف (المخطوطات): هذه يدك كشف الهجمات من خلال التقاط وتحليل حزم الشبكة. الاستماع على قطعة الشبكة أو
التبديل، ويمكن للمرء أن IDS المستندة إلى شبكة رصد حركة مرور الشبكة التي تؤثر متعددة
الأجهزة المضيفة التي ترتبط قطعة الشبكة، وبالتالي حماية تلك المضيفين. غالبا ما تتكون يدك المستندة إلى شبكة من مجموعة من أجهزة الاستشعار غرض واحد أو المضيفين وضعها
في نقاط مختلفة في الشبكة. هذه الوحدات مراقبة حركة الشبكة، وأداء التحليل المحلي للأن هجمات حركة المرور والإبلاغ إلى وحدة تحكم الإدارة المركزية.
>> بعض الموضوعات المهمة يأتي في إطار كشف التسلل هي كما يلي: -
1) التوقيعات: التوقيع هو النمط الذي تبحث داخل حزمة بيانات. ويستخدم التوقيع للكشف عن أنواع واحدة أو متعددة من الهجمات. على سبيل المثال،
بحضور "مخطوطات / IISADMIN" في حزمة ذاهب إلى خادم الويب الخاص بك قد تشير
النشاط الدخيل. قد تكون التوقيعات موجودة في أجزاء مختلفة من حزم البيانات اعتمادا على طبيعة الهجوم.
2) تنبيهات: تنبيهات هي أي نوع من إعلام المستخدم لنشاط الدخيل. عندما يكشف IDS متسلل، فقد لإبلاغ مدير الأمن حول هذا باستخدام التنبيهات.
قد يكون التنبيهات في شكل النوافذ المنبثقة، وقطع الأشجار إلى وحدة تحكم، وإرسال البريد الإلكتروني وهلم جرا. يتم تخزين التنبيهات أيضا في ملفات السجل أو قواعد البيانات حيث يمكن أن ينظر إليها في وقت لاحق من قبل خبراء الأمن.
3) سجلات: عادة ما يتم حفظ رسائل سجل في رسائل file.Log يمكن انقاذه
إما في شكل نص أو ثنائي.
4) إنذارات كاذبة: إنذارات كاذبة هي التنبيهات المتولدة بسبب إشارة إلى أن ليس
النشاط الدخيل. على سبيل المثال، قد المضيفين الداخلية يضبط بث الرسائل في بعض الأحيان أن يؤدي إلى حكم مما أدى إلى توليد حالة تأهب كاذبة.
بعض أجهزة التوجيه، مثل الموجهات الرئيسية لينكسيس، تولد الكثير من التنبيهات بنب ذات الصلة. إلى
تجنب الانذارات الكاذبة، لديك لتعديل وضبط قواعد افتراضية مختلفة. في بعض
الحالات التي قد تحتاج إلى تعطيل بعض القواعد لتجنب الانذارات الكاذبة.
5) الاستشعار: ويطلق على الجهاز الذي نظام كشف التسلل أيضا تشغيل أجهزة الاستشعار في الأدب لأنه يستخدم ل"بمعنى" الشبكة.
SNORT:
هو اقتحام شبكة نظام كشف مرنة للغاية أن لديه مجموعة كبيرة من القواعد التي تم تكوينها مسبقا. الشخير أيضا يسمح لك لكتابة مجموعة القواعد الخاصة بك. وهناك العديد من القوائم البريدية على شبكة الانترنت حيث تبادل الناس القواعد الجديدة التي يمكن أن الشخير مواجهة الهجمات الأخيرة.
هو تطبيق الأمنية الحديثة التي يمكن أن تؤدي وظائف الثلاثة التالية:
* ويمكن أن تكون بمثابة علبة الشم.
* ويمكن أن تعمل بمثابة المسجل الحزمة.
* ويمكن أن يعمل بمثابة نظام لكشف التسلل شبكة اتصال المستندة إلى (المخطوطات).
* ويمكن أن تكون بمثابة علبة الشم.
* ويمكن أن تعمل بمثابة المسجل الحزمة.
* ويمكن أن يعمل بمثابة نظام لكشف التسلل شبكة اتصال المستندة إلى (المخطوطات).
أدوات:
سلسة-3.0 ثانية نظام لكشف التسلل
على نحو سلس ثانية هي خفيفة الوزن وكاملة جاهزة IDS / IPS (كشف التسلل / نظام منع) توزيعة لينكس مبنية على دبيان 7 (صافر)، وهي متاحة لل32 و 64 بت . تشمل توزيع أحدث نسخة من Snorby، Suricata، PulledPork. عملية سهلة الإعداد تسمح لنشر كامل IDS / IPS النظام في غضون دقائق، حتى بالنسبة للمبتدئين الأمن مع الحد الأدنى من الخبرة لينكس.
- Debian 7 Wheezy based
- 32 and 64 bit iso available. Snorby V 2.6.2
- Snort V 2.9.4.6
- Suricata V 1.4.3
- Pigsty V 0.1.0
- PulledPork V 0.6.1
0 التعليقات:
إرسال تعليق