More Related Content Similar to IDS چیست؟ (20) IDS چیست؟1. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
IDSچیست؟
IDSوٙذ ٔی ضٙبسبیی سا ٝضجى سٚی ٚلٛع َحب دس خشاثىبسیٟبی ٝو است ٔحبفظتی ٓسیست یه.
اعالػبت آٚسی رٕغ ُٔشاح ُٔضب ٝو ٘فٛر تطخیع اص ٜاستفبد ثب ٝو است غٛست ٗای ٝث وبس سٚش،پٛستٟب پٛیص،ٝث
ثبضذ ٔی ٖوشد ٞه ٟ٘بیتب ٚ وبٔپیٛتشٞب َوٙتش آٚسی دست،خشاثىب ٘فٛر تٛا٘ذ ٔیوٙذ َوٙتش ٚ ٌضاسش سا سیٟب.
دیٍش لبثّیتٟبی اصIDS،یب ٚ ٝضجى ٔذیش ٝث ٖآ ْاػال ٚ ٝضجى ُداخ ٝث ٖٚثیش اص غیشٔتؼبسف تشافیه تطخیع ٖأىب
.ثبضذ ٔی ٖٛٙٔظ ٚ ٔطىٛن استجبعٟبی ٗثستاثضاسIDSٖوبسثشا ٚ داخّی ٖوبسثشا عشف اص حٕالت تطخیع لبثّیت
داسد سا خبسری.
ػ ٘ظش خالف ثشربی ٝث ٖتٛا ٔی سا افضاسی ْ٘ش ٞش ٔؼتمذ٘ذ ٝو ٕٛٔیIDSٕ٘ی صیش أٙیتی دستٍبٟٞبی ،وشد ٜاستفبد
ٖػٙٛا ٝث تٛا٘ٙذIDSٌیش٘ذ لشاس ٜاستفبد ٔٛسد:
۱-ٔب٘ٙذ ٌیش٘ذ ٔی لشاس ٜاستفبد ٔٛسد ٝضجى ٚلبثغ حجت ثشای ٝو ٞبیی ٓسیست:آسیت تطخیع ثشای ٝو دستٍبٟٞبیی
وبس اص رٟت دس پزیشیٌیش٘ذ ٔی لشاس ٜاستفبد ٔٛسد حٕالت یب ٚ سشٚیس ٗا٘ذاخت.
2-دٞٙذ ٔی ٌضاسش سا تٙظیٕبت دس ضؼف یب ٚ خغبٞب ٝو پزیشی آسیت اسصیبثی اثضاسٞبی.
2. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
3-ٜضذ ٝتٟی خغش٘بن افضاسٞبی ْ٘ش عٛسوّی ٝث ٚ ٚیشٚسٟب ،وشٟٔب ا٘ٛاع تطخیع ثشای ٝو ضذٚیشٚس افضاسٞبی ْ٘ش
ا٘ذ.
4-آتص ٜدیٛاس(Firewall )
5-ٔب٘ٙذ أٙیتی ٔىب٘یضٟٔبیSSL،VPNٚRadiusٚ....
؟ ویست كافی تىُایی ٍب آتش ٌدیًار چزا
وٙٙذ ٗتبٔی ُٔوب عٛس ٝث سا ٝضجى أٙیت تٛا٘ٙذ ٕ٘ی آتص ٞبی ٜدیٛاس صیش ُدالی ٝث:
۱.٘یست آتص ٜدیٛاس عشیك اص فمظ ایٙتش٘ت ٝث ٞب دستشسی ْتٕب ٖٛچ.
2.ا خبسد تٟذیذات ْتٕب٘یستٙذ آتص ٜدیٛاس ص.
3.ضٛد ٔی ٖسبصٔب ٞبی ٜداد ٚ اعالػبت ٝث ٔختّف افضاسٞب ْ٘ش تٛسظ ٝو حٕالتی ثشاثش دس وٕتش أٙیت،ٔب٘ٙذActive،
Java Applet،Virus Programs.
تكىًلًژیIDS
۱- Plain Hand Work
2- Network Based
3- Host Based
4- Honey pot
NIDS (Network Bas)
ٌٛشداسد ٚرٛد ٝضجى ٖآ دس ٝو ای ٝضجى وبست اصعشیك اعالػبت آٚسی رٕغ ٚ ٝضجى ٝث ٖداد.
ثبضذ َفؼب ٔمػذ ٝضجى دس ٔذت ْتٕب دس ٚ ٜداد ٌٛش ٔٛرٛد ٞبی تشافیه تٕبٔی ٝث.
HIDS (Host Base)
٘ٛع ٗای تِٛیذ ٝٙصٔی دس ضشوتٟب اص صیبدی تؼذادIDSوٙٙذ ٔی فؼبِیت.
سٚیPCاص ٚ ضٛد ٔی ٘ػتCPUوٙٙذ ٔی ٜاستفبد ٓسیست ٞبسد ٚ.
ثبضذ ٔی ِٝحظ دس خغش ٖاػال داسای.
ٝالی دس اعالػبت آٚسی رٕغApplication
3. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
٘ٛع ٗای َٔخبIDS،وٙٙذ ٔی َوٙتش ٚ تِٛیذ سا ٚلبیغ حجت ٝو ثبضٙذ ٔی ٔذیشیتی افضاسٞبی ْ٘ش.
Honey pot
ّٕح ٔؼشؼ دس ٝو است ٜضذ ٓتٙظی عٛسی ػٕال ٝو ثبضذ ٔی سیستٕیثٍیشد لشاس ٝ.اص پٛیطٍشی یه اٌشNIDS،
HIDSیه ٌشفتبس ٝو ضذ ٘خٛاٞذ ٝٔتٛر ضٛد سد ٔٛفمیت ثب آتص ٜدیٛاس ٚHoney potاست ٜضذ.خشاثىبسی ٚ
ٜاستفبد ٝضجى ٖوشد ٗٔا ثشای ٞب خشاثىبسیی ٗای سٚضٟبی اص ٖتٛا ٔی ٚ دٞذ ٔی ْا٘زب ٓسیست ٖآ سٚی سا خٛد ٞبی
وشد.
قزارگیزی محلIDS
ُٔحلشاٌیشیIDS؟ وزبست ٞب
؟ آتص ٜدیٛاس ٖٚثیش
ُ(داخ آتص ٜدیٛاس ُداخDMZ)؟ داخّی ٝضجى یب
وٙذ؟ َوٙتش ثبیست ٔی سا تشافیىی ٝچ
وٙذ؟ َوٙتش ثبیست ٔی سا چیضٞبیی ٝچ
یه وبسآییIDSٝو ضٛد ٔی ٔطخع ٚلتی خٛة:
غٛست ٝث سا ٖآ ٔذیشیت ٚ َوٙتش ٖثتٛا24ٚ ٝسبػت7ا ٝٞفت دس سٚصداد ْ٘زب.
ٜپیبد آتص دیٛاس سٚی سا رذیذی ٞبی َوٙتش ٜآٔذ ثذست ٚلبیغ اص ثتٛا٘ذ تب ضٛد ٔذیشیت ثبال دا٘ص ثب ٔذیش یه تٛسظ
ضٛد سٚصسسب٘ی ٝث )رذیذ ٞه ٞبی سٚش ٚ ٞب ْٚس ٚ ٞب (ٚیشٚس ٝ٘سٚصا حٛادث ٝث ٝتٛر ٚثب َوٙتش وٙذ.ٔشتت سبصی.
ضٛ٘ذ ٔی ٓتمسی ثخص ٚد ٝث وّی عٛس ٝث حٕالت:
۱-اعالػبت ٝث دستیبثی ٖٚثذ پزیش آسیت ٞبی ٓسیست ٝث دستشسی غیشفؼبَ:فىش
2-ٖسبصٔب یه اعالػبت ٚ ٔٙبثغ دس تغییش ٜٕٞشا ٝث ٜاربص ٖٚثذ فؼبَ:دستیبثی
ضٛ٘ذ ٔی ٓتمسی صیش ٌشٟٚٞبی ٝث حٕالت ٘فٛرٌش ضخع ٘ظش اص:
۱-ٚ تزبسی ضشوبی یب ٚ ٖوبسوٙب عشیك اص حٕالت ٝایٙى داخّی:یؼٙیٔی ُٔتػ ضٕب ٝضجى ٝث ٝو ٔطتشیب٘ی حتی یب
ثبضٙذ.
4. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
2-.ٌیشد ٔی ْا٘زب ایٙتش٘ت عشیك اص ٔؼٕٛال ٚ ٖسبصٔب خبسد اص ٝو خبسری:حٕالتی●ضٕبدسٔؼشؼخغشٞستیذ!
٘بٔٙبست ٞبی سشٚیس ٝو تمبضبٞبیی ثشاثش دس سا خٛد ٓسیست ثبیست ٔی احتٕبِی ٚحٕالت خغشات تطخیع ثشای
ٛٔ وٙٙذ ٔی دسخٛاستوٙذ ٔی وٕه ٔب ٝث ٚالؼی حٕالت تطخیع دس ٞب ثشسسی ٗدٞیذ.ای لشاس ثشسسی سد.ٝث ٝتٛر ثب
٘فٛر ٚ سسب٘ی آسیت سٚضٟبی ٝث ارٕبِی ٍ٘بٞی وٙٙذ ٔی ٜاستفذ سیستٕٟب ٝث دستشسی ثشای ٌٖشا ٘فٛر ٝو ٞبیی ٜسا ا٘ٛاع
ٓا٘ذاصی ٔی.
-معزيف َای پذیزی آسیب اس ٌاستفاد
ٝث ّٕٝح ٔٛاسد دساوخشٗای ٚ ضٛد ٔی اعالق ٖسبصٔب یه أٙیتی ٓسیست دس ٖآ ایزبد یب ٘مع اص ٜاستفبد ثشای تالش ٔؼٙی
ٜاستفبد ٝضجى ٖوشد ٗٔا ثشای اثضاسی اص است ٕٗٔى ٖسبصٔب خٛد ثبضذ.اغّت ٔی ٝضجى دس ٘فٛرٌشی ساٟٞبی اص یىی
اثضاسٞبی ٝایٙى تش ٚاضح ٖثیب ٝث سبصد ٔی ٖآسب سا ٜوٙٙذ ّٕٝح وبس ٝو وٙذٞبی ٜحفش ٚ ٘ٛالع داسای خٛد ٘یض أٙیتی
دٞذ ٔی ٘فٛرٌش ٝث سا ثیطتشی اختیبسات ٝو ثبضذ ٔی أٙیتی.ٚ وٙٙذ ٔی ُٕػ ِٝج ٚد ضٕطیش ٔب٘ٙذ اغّت افضاسٞب ْ٘ش ٗای
یب ُفبی یىپبسچٍی ٚ غحت َوٙتش افضاسٞبی ْ٘ش ٔب٘ٙذ ٌیشد لشاسٔی ٖوٙٙذٌب ّٕٝٚح ٖوبسثشا ٌٜٚش ٚٞشد ٜاستفبد ٔٛسد
ا ْ٘شٜاستفبد ثب فبیّٟب یىپبسچٍی ٖوشد ٌیش٘ذ.چه لشاسٔی ٜاستفبد ٔٛسد ٝضجى پزیشی آسیت تست رٟت ٝو فضاسٞبیی
٘ظیش اثضاسٞبیی ثب ٚ یىذیٍش ثب ٔختّف سٚضٟبی ْادغب لبثّیت ثب ٚ سیستٕی ٞبی سٚش اصanti-SATANیب
Courtneyثبضذ ٔی پزیش ٖأىب.
-معمًل غیز خزيجی تزافیك
ثب ٘فٛرٌش یهصیبدی تؼذاد اص ٜاستفبدExploitوبٔپیٛتش َوٙتش ٖآٚسد دست ٝث دس سؼی ٘بٔٛفك ٞبی ٘فٛر حتی ٚ
داسد ٔمػذ.ٔی ٜدسآیٙذ ّٕٝح یه ٚلٛع ٝ٘٘طب ٚ دٞذ ٔی افضایص سا ٝضجى َٕٛٔؼ تشافیه ،ٝ٘٘فٛرٌشا ػّٕیبت ٗای
ثبضذ.ٔطىٛن ٞبی فؼبِیت تطخیع لبثّیت ثبیست ٔی پزیشی آسیت تست اثضاس ٞشثب ٚ ثبضذ ٝداضت سا ٔتؼبسف غیش ٚ
ٌضاسش ٝاسائ،ثذٞذ ٝضجى ٔذیش ٝث سا ْالص خغش ْاػال.
پبسأتشٞب ثؼضی َوٙتش ٚ دسیبفت ّٝثٛسی ٝضجى :فؼبِیتٟبی ٔطىٛن ٚ ٚالؼی فؼبِیتٟبی تطخیع ٝث وٕه ثشای تىشاس حذ
ٔب٘ٙذ است ضٙبسبیی ُلبثUser Profileاص یبSession State.
-تك بیه سمانفعالیتُا زار
5. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
ٔتٛاِی ٝٚالؼ ٚد ٗثی ٜضذ سپشی ٖصٔب تطخیع ثشای پبسأتشی.ٔخال"ٓسیست ٚاسد ٜاضتجب وبسثشی ْ٘ب ثب ثخٛاٞیذ ٚلتی
صٔب٘ی ّٝفبغ ٗثی غّظ ْ٘ب ثب ٚسٚد ثشای تالش ٝس ،ضٛیذ2سسذ ٔی ٘ظش ٝث ٔطىٛن فؼبِیت یه ٝدلیم.
یه دس ٝو رٛاثٟبیی ٚیب تبیپ دس ٜاضتجبSessionایضٛد ٔی زبد.
وبٔال غٛست ٝث ٝضجى ٞبی ٚسشٚیس ٞب ُپشٚتى"ٔی ٜاستفبد خبظ افضاسی ْ٘ش اثضاسٞبی اص ٚ ا٘ذ ٜضذ ٔستٙذ دلیمی
وٙٙذ.ضٙبسبیی ثشای اعالػبتی است ٕٗٔى ) دستٛس یه تبیپ دس ٜاضتجب ُٔخ (ٜضذ ٝضٙبخت لبِت ثب ٘بٕٞبٍٞٙی ٌٝ٘ٛٞش
ٌ٘فٛر یه ّٕٝح ٔٛسد تٛا٘ٙذ ٔی ٝو سشٚیسٟبیٖأىب ثبضذ.اٌش لشاسثٍیش٘ذ شAuditثبضذ ٜضذ َفؼب ٓسیست دس،ُٔخ
Send Mail Relayingاستجبط تٛاِی ،Logدس اٌش ٝو افتذ.ٞشچٙذ ٔی اتفبق ثیٙی پیص ُلبث ٚ ٔؼِٕٛی ثػٛست
Logدس سؼی ٚیب ػٕذی غیش ٜاضتجب ٔٛاسد ٝ٘تیز است ٕٗٔى ضٛد ٜدیذ ٔزبص غیش دستٛسات ٜضذ دسیبفتSpoofing
ثبضذ(.Spoofingٜداد تغییش است ٜضذ ٝضٙبخت ٓسیست ثشای ٝو آدسسی ٝث سا خٛد آدسس ٘فٛرٌش ٝو است ٔؼٙی ٗای ٝث
وٙذ ٔی ٘فٛر ٓسیست ٝث تشتیت ٗای ٝث ٚ.)
ثبضذ صیش ٔٛاسد ُٔضب است ٕٗٔى ٔخشة تالضٟبی تست:
▪دستٛسات تىشاس ٚ تبیپی خغبٞبی ٖرجشا ثشای ٔتؼذد تالضٟبی ضٙبسبیی
▪تضٛد ٔی ْا٘زب ٔٛفك تالش یه َثذ٘جب ٝو ٞب ُپشٚتى ٗیبفت ثشای ٔىشس خغبٞبی طخیع.
▪ٔمػذ سبیت دس ٔٛرٛد ٞبی ُٔػب ٓسیست یب ٚ افضاسٞبی ْ٘ش ضٙبسبیی رٟت دس یبدٌیشی ٚ خغب تطخیع.
-اطالعات دریافت ي ارسال جُت در واَماَىگی
دس تشافیىی ٘بٕٞبٍٞٙی ٌٝ٘ٛٞشPacketیه یب ٞبSessionاست پٟٙب٘ی ّٕٝح یه اص ای ٝ٘٘طب.ٔجذاء آدسس ثشسسی
رٟت ٔیتٛا٘ذ )خشٚری یب ٚسٚدی غٛست ٝث ( ٔمػذ ٚPacketثذٞذ تطخیع سا.یه ثشلشاسی سٚ٘ذsessionثب
ضٛد ٔی ضٙبسبیی ٜضذ َاسسب ْپیب ٗاِٚی تطخیع.غٛست ٝث ٔحّی ٝضجى اص سشٚیس یه دسیبفت ثشای دسخٛاست یه
یهsessionٚسٚدیٝپبث ثش سشٚیس یه ٖوشد َفؼب ٝپشٚس ٚ استWebیه ٔحّی ٝضجى یه اصsession
است خشٚری.
ضٛد ٔحسٛة ّٕٝح ٖػٙٛا ٝث تٛا٘ذ ٔی صیش ٔٛاسد:
6. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
Packet -ٝضجى ٚاسد ٚ ثبضذ ٝداضت ٔحّی ٝضجى سٕت اص خٛاستی دس ٝایٙى ٖٚثذ است ایٙتش٘ت آٟ٘ب ٔٙطبء ٝو ٞبیی
ضٛد.
ٞد ٖ٘طب است ٕٗٔى حبِت ٗایّٕٝح یه ٜٙذIP Spoofingثبضذ خبسد اص.دس تٛا٘ٙذ ٔی ٔطىالت ٗایRouter-
ضٛ٘ذ عشف ثش داس٘ذ سا ٔمػذ ٚ ٔجذاء آدسس ٝٔمبیس لبثّیت ٝو ٞبیی.اص ا٘ذوی تؼذاد ُٕػ دسRouterٔی ٝضجى دس ٞب
وٙٙذ ُٕػ َفبیشٚا ٖػٙٛا ٝث تٛا٘ٙذ.
-ُلج حبِت ػىس ثشPacketی دس خشٚری غٛست ٝث ٝو ٞبییٝضجى یه ٝث ٚ ضٛ٘ذ ٔی ایزبد ٔحّی ٝضجى ه
ضٛ٘ذ ٔی ٜفشستبد خبسری.
Packetٔطخع غیش ٔمػذ ٚ ٔجذاء ٞبی پٛست ثب ٞب.خشٚد یب ٚسٚد دسخٛاست یه ٔٛسد دس پٛست ٔٙجغ اٌش
ضٛد تّمی ٓسیست پٛیص یب ٘فٛر ثشای تالش یه ٖػٙٛا ٝث است ٕٗٔى ٘جبضذ ٖیىسب سشٚیس ٘ٛع ثب اعالػبت.َٔخب ثغٛس
دسخٛاستTelnetپٛست سٚی اص۱۱۱غیش ٘ذاسد.تشافیه ٚرٛد سشٚیس ثشای پطتیجب٘ی ٗچٙی ا٘تظبس ٝو ٔحیغی دس
ٚ ٜضذ ضٙبسبیی َفبیشٚا تٛسظ ثیطتش َٕٛٔؼPacketثشد ٔی ٗاصثی سا ٔطىٛن ٞبی.ثب ٕٝٞیط فبیشٚاِٟب ٝایٙى ٝث ٝتٛر ثب
ضٛ٘ذ ٕ٘ی ْادغب ٘فٛر تطخیع ٞبی ٓسیست،ا ٕٗٔى ٗثٙبثشایُٔطى ٗای ثشای حّی ٜسا ٘فٛر تطخیع سیستٕٟبی ٝو ست
ثبضذ.
-وفًذ عالئم
داسد ٚرٛد ٝٔطبث ٚ خبظ سفتبسٞبی ثب ٟٝٔٛار ا٘تظبس ٓسیست دس خبظ ٞبی ٝٔثش٘ب ارشای ثب ٔؼٕٛال
صیش ٔٛاسد ٔب٘ٙذ ٔٛاسد اص ثؼضی:
▪َٕٛٔؼ ثغٛس خبظ ٞبی ٔحیظ ثؼضی دس : ٖصٔب ٚ تبسیخ ٔطخػبتٔی اتفبق ٝضجى دس خبغی ٖصٔب دس سفتبسٞب ثؼضی
افتذ.ٝث ٔشثٛط ٝو ضٛد ٔی َاسسب ضشوت ٔشوضی ثخص ٝث اعالػبت یىسشی غجح ٝضٙج َٕٛٔؼ ثغٛس وٙیذ فشؼ ٔخال
است ٔبِی اعالػبت.سٚص تشافیىی ٗچٙی ٝغٛستیى دس است ػبدی ٚ افتذ ٔی اتفبق ٕٝٞیط غجح ٝضٙج دس تشافیىی ٗچٙی
ثیفتذ اتفبق ٝرٕؼضٛد حجت ٚ،ثشسسی ٔٛسد ٓسیست ٝث ٘فٛر یب َٕٛٔؼ غیش سفتبس یه ٖػٙٛا ٝث ثبیذ ٚ است َٕٛٔؼ غیش
لشاسٌیشد دلیك.
7. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
▪ّٕٝح یه ٔخال ٔیطٛد ٓسیست خبظ پبسأتشٞبی ثؼضی خشاثی ثبػج خبظ ٞبی ٘فٛر ثؼضی :ٓسیست ٔٙبثغ ٔطخػبت
Brute Forceٖوشد ٌیش دس ثبػج سٔض حشف ٗضىست ثشایCPUٔیطٛدّٕٝح یه ٝحبِیى دسDoSوبسسا ٕٗٞی
ٔیذٞذ ْا٘زب ٓسیست ٞبی سشٚیس ثب.سخت دیسه ،ٝحبفظ ،پشٚسسٛس ( ٓسیست ٔٙبثغ اص ٗسٍٙی ٜاستفبد،ٚ سشٚیسٟب
ثسیبس آٟ٘ب ٝث ثبیذ ٚ ٞستٙذ ٔفیذ ثسیبس ّٕٝح ضٙبسبیی ثشای افتذ ٔی اتفبق َٕٛٔؼ غیش صٔبٟ٘بی دس ٝو ) ٝضجى اتػبالت
وشد ٝتٛر.
▪ Packetٞبی تبییذ ثب ٞبییTCPیه دس اٌش : َٕٛٔؼ غیشPacketٝث ٔشثٛط ٝ٘٘طبACKٖآ اص ُلج ٚ ثبضذ َفؼب
ٞیچSYN-Packetاست ٕٗٔى حبِت ٗای ٗثبضذٕٞچٙی ٓسیست دس ّٕٝح یه ٝ٘تیز است ٕٗٔى ،ثبضذ ٜ٘طذ َاسسب
یه احشPacketایزبد خشاة ٞبی افضاس ْ٘ش ثب ٝضجى یه دس ٝو ثبضذ ٓٞ خشاةٚالؼب ٚ ضٛد ٔی"٘جبضذ ٘فٛری ّٕٝح.
▪ٔختّف ٓػالی ثب ٔختّف ٞبی سشٚیس:وبسثش یه اص خبظ تشافیه ایزبد ا٘تظبس ٔٛاسد ثؼضی دس است ٕٗٔى
ٔؼٕٛال ثشد ٔی ثسش اداسی ٔبٔٛسیت یه دس ٝو وبسثشی ٔخال ٓثبضی ٝداضت ٔطخع"وٙذ ٔی چه سا خٛد ٞبی ٝٔ٘ب فمظ
دٞذ ٔی َا٘تمب سا فبیّی ٚیب.عشیك اص ٔختّف ٞبی پٛست ٝث وبسثش ٗای دستشسی ٝغٛستیى دسTel net،ٖأىب ثش دِیّی
است ّٕٝح یب ٘فٛر.
-معمًل غیز مًارد-وفًذ عالمت
غیش سفتبسٞبی ثبػج ٖآ رب٘جی احش ٝو وٙذ عشاحی ای ٌٝ٘ٛ ٝث سا خٛد ٘فٛر ػّٕیبت است ٕٗٔى ٜٛثبِم ٜوٙٙذ ٘فٛر یه
ثبضذ ٓسیست دس َٕٛٔؼ.ٔب٘یپزیش ٖأىب سبدٌی ٝث آٟ٘ب ُٔح ٖوشد پیذا ٖٛچ است سخت ثسیبس رب٘جی احشات ًٙتٛسی
وشد ٜاضبس ٖتٛا ٔی صیش ٔٛاسد ٝث ٓسیست ٜٔٙتظش غیش ٔٛاسد اص ٘یست:
۱-ثؼضی وبسوشد ْػذ ،سشٚس ػّت ٖٚثذ ٖضذ خبٔٛش ُٔخ ٓافضاسسیست ْ٘ش یب افضاس سخت دس ٜ٘طذ تؼشیف ٔطىالت
افضاسی ْ٘ش ٞبی ٝٔثش٘بٔب٘ٙذIIS،َٕٛٔؼ غیش ٔٛاسدrestartٞب ٓسیست ٖضذ،ٓتٙظی دس تغییشاتclockٓسیست
2-ُٔخ ٓسیست ٔٙبثغ دس ٘بٔطخع ثشٚصاضىبالتFile System Overflowحذ اص ثیص ٖثٛد َٛٔطغ یبCPU
3-ارشا خٛد ٞبی ٝٔثش٘ب ثؼضی اص ٔتؼبسف غیش ٞبی ْپیب دسیبفت،ٜدٞٙذ ٖ٘طب ٝو پیغبٟٔبیی ُٔخدس خغب یب ٚ ارشا ْػذ
ُٔخ ا٘ذ ٜضذ عشاحی ٓسیست ٖوشد ٔب٘یتٛس ثشای ٝو ٞبیی ٝٔثش٘ب ثبضذ.ثخػٛظ ٜضذ ایزبد ٝٔثش٘ب یه ارشای ٍْٞٙب
Syslog.
8. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
4-ٔخال ٓسیست وبسایی دس ٘بٔطخع اضىبالت ثشٚص"دسRouterسشٚس ٖضذ وٙذ ُٔخ ٓسیست ٞبی سشٚیس یب ٞب
5-ارشای دس ٔطىٛن سفتبسٞبی ثشٚصٝضجى ٔٙبثغ ثؼضی ٝث دستشسی دس َاضىب ُوبسثشٔخ ٞبی ٝٔثش٘ب
6-ٚلبیغ حجت فبیّٟبی دس ٔطىٛن ػّٕىشد( Logٜا٘ذاص اص ُفبی ٓحز ٝایٙى ثشای سبیض ٘ظش اص ٞب ُفبی ٗای ٞب)ثشسسی
٘جبضذ وٕتش یب ثیطتش خیّی ٔتؼبسف..ثبضذ ٜوشد ایزبد تغییشی ٗچٙی خٛد ٝضجى ٔذیش ٝایٙى ٍٔش
چگًوگیعملكزدIDS
است ٖآ اص رٌّٛیشی ٚ ّٕٝح ضٙبسبیی ّٝثٛسی وبٔپیٛتش اص ٘فٛرٌش،دفبع وطف ٓسیست یه وبس ٟٕٗٔتشی.ّٕٝح ضٙبسبیی
داسد ٘ظش ٔٛسد ُٕاِؼ ػىس تؼذاد ٚ ٘ٛع ٝث ثستٍی ٞىش.
ٞشد ٝو داسد ا٘ذاصی ّٝت ٚ ٌزاسی ْدا تشویجی ٓسیست یه ٝث ٘یبص ،٘فٛر ثب ّٝٔمبثدلت ٚ ثشسسی ثب ثبیذ ٞب ٝپشٚس ٗای ٚ
ضٛد ْا٘زب.داد ْا٘زب ثبیذ ٝو دیٍشی وبسٞبی اص،ٔزبصی ٚ ٚالؼی ٓدٚسیست است.ٞش ٞىش ٝتٛر رٟت ٖداد تغییش
(Honeypot)ثب٘ی ٜدیذ دائٕی عٛس ٝث ٞىش ا٘ذاصی ْدا ٝث(Monitor )تٛسظ ٜضذ تِٛیذ ٞبی ٜداد ٚ ضٛ٘ذ ٔی
ٌش ٘فٛر ضٙبسبیی ٓسیست(IDS)ٝٚظیف ٟٕٗٔتشی ٗای ٝو ضٛد ٔی ثشسسی دلت ٝث ّٕٝح ػّٕىشد ٜٛ٘ح ضٙبسبیی ثشای
یهIDSثبضذ ٔی احتٕبِی ٘فٛرٞبی یب ٚ حٕالت ضٙبسبیی رٟت.
،ضذ ضٙبسبیی ٘فٛر یب ّٕٝح یه ٝو ٚلتیIDSسبصد ٔی ٔغّغ سا ٝضجى سشپشست.ٜػٟذ ثش تٛا٘ذ ٔی وبس ثؼذی ّٝٔشح
خٛد یب ٝضجى سشپشستIDSٝو ثبضذدٞذ.(ٔب٘ٙذ ْا٘زب سا ُٔتمبث ْالذا ٚ ٜوشد ٌیشی ٝ٘تیز ٜآٔذ ُٕػ ٝث ثشسسیٟبی اص
ٝث ٖثخطیذ ٖپبیب ثشای ثخػٛظ لسٕت یه ػّٕىشد اص رٌّٛیشیSessionاص ٖپطتیجب ٝ٘سخ ٝتٟی یب ٔطىٛن ٞبی
اعالػبت اص حفبظت ی ثشا ٓسیست،ٔب٘ٙذ ٜوٙٙذ ٌٜٕشا ٓسیست یه ٝث استجبط َا٘تمب یب ٚHoneypotدیٍش چیضٞبی ٚ
سیبستٟبی اسبس ثش ٝو(Policy)ثبضذ ارشا ُلبث ٝضجى.حمیمت دسIDSٝضجى أٙیتی سیبستٟبی ػٙبغش اص یه
ٔختّف ٚظبیف ٗثی است.دسIDS،آٟ٘بست ٗتشی اسبسی اص ٘فٛرٌش ضٙبسبیی.اص لب٘ٛ٘ی ٔشارغ دس است ٕٗٔى حتی
ٝو حٛادحی ٌضاسضبت ٚ ٘تبیذIDSاستف وٙذ ٔی ْاػالَاػٕب ثب افتبد خٛاٞذ اتفبق ٜآیٙذ دس ٝو حٕالتی اص ٚ ،ٕ٘ٛد ٜبد
وشد رٌّٛیشی ٝضجى ٔٙجغ یه ٚیب ثخػٛظ وبٔپیٛتش یه ٝث ّٕٝح اص ٔٙبست أٙیتی ٞبی ّٝٚغ.
9. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
آٚسد دس غذا ٝث سا اضتجبٞی خغش ً٘ص اٚلبت ٌبٞی است ٕٗٔى ٘فٛر ضٙبسبیی.یه ٖوبسوشد خشاة ٝ٘تیز َٔخب ثشای
یب ٚ ٝضجى وبستاصعشیك ٘فٛر یه احش یب ٚ ّٕٝح یه ضشح َاسسبEmail.
وفًذ تشخیص سیستم معماری ي ساختار
٘فٛر تطخیع ٔسئِٛیت ٝو است )تطخیع دٞٙذٜ(ٔٛتٛس تطخیع یه ٚ داسد ٔشوضی ٝٞست یه ٘فٛر تطخیع ٓسیست
داسد سا.داسد ٘فٛر ٘ٛع اسبس ثش ٌیشی ٓتػٕی ْٔىب٘یض یه سٙسٛس ٗای.
اعالػبت سٙسٛس ٗایوٙذ ٔی دسیبفت ٔٙجغ ٝس اص سا ْخب.
۱-خٛد اعالػّتی ثب٘ه دس ٔٛرٛد اعالػبت اصIDS.
2-ٓسیست ٚلبیغ حجت ُفبی(syslog).
3-ٝضجى ثب٘ی ٜدیذ ٚ ػجٛسی تشافیه آحبس.
ٓسیست ٚلبیغ حجت ُفبی(syslog)ٖوبسثشا ٞبی دستشسی ٚ ٓسیست پیىشثٙذی اعالػبت َٔخب عٛس ٝث است ٕٗٔى
ثبضذ.اعال ٗاییه ثب سٙسٛس ٗثٛد.ای خٛاٞذ سٙسٛس ْٔىب٘یض ثؼذی ٞبی ٌیشی ٓتػٕی اسبس ػبتEvent Generator
ُضى (.وٙٙذ ٔی وبس ٓٞ ثب است اعالػبت آٚسی رٕغ َٛٔسئ ٝو4).سیبست ّٝثٛسی ٝو اعالػبت آٚسی رٕغ ٗلٛا٘ی
ٞبیEvent generatorضٛد ٔی ٔطخع،ٚ حٛادث سٚی اص ًٙفیّتشی ٘ٛع ٜوٙٙذ ٗتؼییاست ٜضذ حجت اعالػبت.
Event Generator،ارشایی ٝٔثش٘ب یه یب ٝضجى یب ُٔػب ٓسیست ُٔخ،ٜوٙٙذ تِٛیذPolicyٕٗٔى ٝو ٞستٙذ ٞبیی
یب ُٔػب ٓسیست دس ٜضذ ایزبد ٝٚالؼ یه استPacketوٙٙذ حجت سا ٝضجى ٞبی.اعالػبت ٜٕٞشا ٝث ٝٔزٕٛػ ٗای
Policyیب ٜضذ ٔحبفظت ٓسیست یه دس تٛا٘ذ ٔیضٛد ٜداد لشاس ٝضجى اص خبسد.ُٔح ٞیچ خبظ ضشایظ ثؼضی دس
ٔستمیٕب ٚلبیغ اص ٜضذ آٚسی رٕغ اعالػبت ٝو ٚلتی ُٔخ ضٛد ٕ٘ی ایزبد اعالػبت حفظ ُٔح ٖػٙٛا ٝث ٔطخػی"ٝث
ضٛد ٔی َاسسب آ٘بِیض ٓسیست یه.
عشف اص ٝو ٔشتجظ غیش ٜداد ٞش ٖوشد حزف ٚ است اعالػبت ٖوشد فیّتش سٙسٛس ٝٚظیفٔی اعالػبت دسیبفت ٔٙبثغ
سسذ.اص ٞذف ٗای ٝث دستیبثی ثشای ٜوٙٙذ ُتحّیPolicyٝ٘تیز ٚ احش ٔب٘ٙذ ٘ىبتی ٌش ُوٙذ.تحّی ٔی ٜاستفبد ٔٛرٛد ٞبی
ّٕٝح،ُٔخ ٘یبص ٔٛسد پبسأتشٞبی ٚ غحیح ٚ َ٘شٔب سفتبسٞبی ُفبی ٚپشThresholdوٙذ ٔی ثشسسی سا ٞب.ٕٝٞ ثش ٜٚػال
اعالػب ثب٘ه ایٟٙبپیىشثٙذی پبسأتشٞبی ٝو تیIDSٔی ایزبد سا استجبعی ٔختّف سٚضٟبی ،داسد ٔی ٍٝ٘ خٛد دس سا
ثب یب ٜثٛد ٜپیچیذ ٘فٛرٞبی اص پٛیبیی ٝتبسیخچ ُٔضب ٝو ،داسد سا خٛد خبظ اعالػبتی ثب٘ه ٓٞ ٌٜیش٘ذ یب وٙٙذ.سٙسٛس
10. ٜدٞٙذ ٝاسائ سپٙتب ٜداد ٕٗای ضشوتا٘ٛاعسبیت عشاحی ٚ ٝضجى ،أٙیت خذٔبت
www.idsco.ir
ٔی ٘فٛر تطخیع ٓاست.سیست ٝلشاسٌشفت ُتحّی ٔٛسد ّٕٝح تؼذد ٝث ٝتٛریه ثشلشاسی ُٔخ ٔتٕشوض غٛست ٝث تٛا٘ذ
ضٛد.یه ْا٘زب ٔتٕشوض غیش غٛست ٝث یب فیضیىی َفبیشٚاIDSدس ٘فٛر تطخیع ٓسیست صیبدی تؼذاد ُٔضب ٔتٕشوض غیش
وٙٙذ ٔی پیشٚی سبختبسی اص تش ٜپیچیذ ٞبی ٓٞستٙذ.سیست استجبط دس ٓٞ ثب آٟ٘ب اص ْٞشوذا ٝو است ثضسي ٝضجى یه
ٔطب ٞبی َٚٔبط ٝوضٛ٘ذ ٔی ارشا وبٔپیٛتش ٞش سٚی ٝو داس٘ذ ارشایی خٛد ٞبی ٝٔثش٘ب ٝث.ٗربیٍضی ٓسیست ٗای ػّٕىشد،
ٔتٙبست پبسخ ٚ دلیك آ٘بِیض یه ثتٛا٘ذ ٝو است ٜضذ ٔحبفظت ثخص یه ثب ٔشتجظ فؼبِیتٟبی ْتٕب ٖوشد فیّتش ٚ ٔٛ٘یتٛس
ٟٓٔ ثسیبس ٞبی لسٕت اص وٙذ.یىی دسیبفت ٝضجى اصIDSاس ای ٝٔثش٘بدٞذ ٔی ٌضاسش ٜوٙٙذ آ٘بِیض سشٚس ٝث ٝو ت،
DIDS(Database IDS)ٔی ضٙبسبیی ٘یض سا ٔتٕشوض غیش حٕالت ٝو است تشی ٜپیچیذ آ٘بِیض اثضاس داسای ٚ
وٙذ.ُٔػب ٗای ثش ٜٚاست.ػال فیضیىی ٝٔٙغم دسچٙذ َا٘تمب ٚ ُٕح لبثّیت ٝث ٔشثٛط داسد ٚرٛد ٝو دیٍشی ُدِی
ٚ تطخیع ثشای ٔطخع ٗربیٍضیای ٝٔثش٘ب چٙذ سبختبسی ُح ٜسا ثبضذ.یه ٔی ٜضذ ٝضٙبخت ٞبی ّٕٝح احش ضٙبسبیی
َسب دس ٝو۱۹۹4ضذ ایزبد.
AAFIDیبAutonomous Agent for Intrusion Detectionاست.ٜاستفبد ٗربیٍضی یه اص سبختبس ٗای
ٔ ثب٘ی ٜدیذ خبظ ٖصٔب دس سا ٓسیست سفتبس اص خػٛغی ٝث ثخص ٝو وٙذ ٔیتٛا٘ذ ٔی ٗربیٍضی یه َٔخب وٙذ.ثغٛس ی
ٓسیست ٝث ٝو سا دفؼبتی تؼذادTelnetٌضاسش آ٘شا ٘شسذ ٘ظش ٝث ٔٙغمی ػذد ٗای ٝو غٛستی دس ٚ ٜداد تطخیع ٜضذ
وٙذ.تٛا٘ٙذ ٔی ٞب ٗداسد.ربیٍضی سا ٔطىٛن ٝحبدح یه ٚلٛع ٖصٔب دس خغش ً٘ص ایزبد لبثّیت ٕٗٞچٙی ٗربیٍضی یه
ث ٚ ضٛ٘ذ سبصی ٝٔطبثٞب ٗربیٍضی اص غیش ٌٝشد٘ذ.ث ُٔٙتم دیٍش ٓسیست ٝ،ُو ثب٘ی ٜدیذ ثشای ٞبیی ساثظ تٛا٘ذ ٔی ٓسیست
َاسسب ٔطخع ٔٛ٘یتٛس یه ٝث سا خٛد ػّٕیبت ٘تبیذ ٕٝٞیط ٞب ساثظ ٗثبضذ.ای ٝداضت ثخػٛظ وبٔپیٛتش یه فؼبِیتٟبی
وٙٙذ ٔی.د ٝضجى ٔطخع ٚ ٔختّف ٘مبط اص سا اعالػبت ٔب٘یتٛس ٞبی ٓسیستٝو است ٔؼٙی ٗثذی ٗای ٚ وٙٙذ ٔی سیبفت
.دٞٙذ ْا٘زب سا ٟ٘بیی ٌیشی ٝ٘تیز ٚ دٞٙذ استجبط ٟٓث سا ٔتٕشوض غیش اعالػبت تٛا٘ٙذ ٔیفیّتش است ٕٗٔى ٝایٙى ْا٘ضٕب ٝث
ٕ٘بیذ یبفت دس ا٘تخبثی ثػٛست سا ٜضذ تِٛیذ ٞبی ٜداد تب ضٛد ٌٝزاضت ٞبیی.