تشخيص و جلوگيري از نفوذ

تشخیص و جلوگیری از نفوذ (Intrusion Detection and Prevention) امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های کامپیوتری مطرح است. زمانی که برای اولین بار ایده استفاده از این سیستم‌ها مطرح گردید، به دلیل بار پردازشی فراوان تنها مورد استقبال محیط‌های نظامی و تجاری مهم قرار گرفت. امروزه با پیشرفت چشمگیر در طراحی و تولید سخت‌افزارها و مدارهای خاص منظوره (ASIC) و توسعه معماری‌های نوین در طراحی و تولید نرم‌افزارها امکان استفاده از این ایده و تکنولوژی برای طیف گسترده‌ای از سیستم‌های کامپیوتری امکانپذیر شده است.

امروزه دیگر سیستم‌های تشخیص نفوذ را به عنوان سیستم‌‌هایی مجزا در نظر نمی‌گیریم بلکه این سیستم‌ها به عنوان زیرسیستم‌هایی از تجهیزات شبکه، سیستم‌های عامل و حتی سرویس‌ها قابل به‌کارگرفته می‌شوند. هدف در این مقاله بررسی این تکنولوژی به عنوان راه آینده در امن‌سازی و مدیریت سیستم‌های کامپیوتری در آینده‌ای نزدیک است. بر این اساس در قسمت اول به تاریخچه این سیستم‌ها می‌پردازیم. بررسی رویکردهای نوین در تشخیص و ممانعت از نفوذ و آینده این تکنولوژی عناوین شماره‌های بعدی این بحث خواهد بود.

تاریخچه
بعد از سال 1970 و با افزایش سرعت، حوزه کاربرد و تعداد کامپیوترها نیاز به امنیت کامپیوتری بیش از پیش آشکار شد. در این سال‌ها بود که سازمان ملی استاندارد‌های آمریکا (US National Bureau of Standards) گردهم‌آیی با حضور دولت مردان و سازمان‌های نظارت بر تجارت برگزار کرد که حاصل آن گزارشی بیانگر وضعیت بازرسی و امنیت در زمینه‌های الکترونیکی- تجاری بود. در همان زمان وزارت دفاع آمریکا (US Department Of Defence (DOD))، متوجه افزایش استفاده از کامپیوترها در سیستم‌های نظامی و در نتیجه آن اهمیت امنیت این سیستم‌ها شد. بررسی این موضوع به جیمز «پی اندرسون» واگذار گردید. جیمز پی اندرسون به عنوان نخستین فردی که نیاز به بررسی خودکار وقایع ثبت شده در سیستم در جهت اهداف امنیتی را مطرح کرد، شناخته می‌شود. اندرسون در سال 1980 گزارشی ارائه داد که از آن به عنوان ابتدائی‌ترین فعالیت در زمینه تشخیص نفوذ یاد می‌شود.

در این گزارش او تغییراتی را در نحوه ثبت وقایع سیستم و بررسی آنها، در جهت فراهم آوردن اطلاعات مورد نیاز پرسنل امنیتی برای ردیابی مشکلات امنیتی، پیشنهاد کرد. در همین گزارش بود که مفهوم کاهش اطلاعات ثبت شده، حذف رکوردهای زیادی و بی‌ربط از اطلاعات، بیان شد. به صورتی که در شماره سوم مقاله توضیح خواهیم داد ایده اصلی سیستم‌های Log/Alert Correlation از این مفهوم نشات می‌گیرد.

IDES
از 1984 تا 1986 دوروتی دنینگ و پیتر نیومن تحقیقات و طراحی IDES که یک سیستم تشخیص نفوذ بلادرنگ (Real-Time) بود به انجام رسانیدند. این تحقیق که تحت حمایت SPAWARS (Space And Naval Warfare Systems) انجام شد، از هر دو رویکرد ناهنجاری و سوء استفاده که در شماره بعدی مقاله آنها را توضیح خواهیم داد، استفاده می‌کرد. تحقیق انجام شده به عنوان پایه‌ای برای بسیاری از تحقیقات انجام شده در زمینه تشخیص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنینگ در سال 1987 روی این موضوع به عنوان یکی دیگر از کارهای اولیه در زمینه تشخیص نفوذ، مطرح است. مدل ارائه شده توسط دنینگ و نیومن در مؤسسه SRI و بین سال های 1986 تا 1992 در طراحی نسخه کاربردی IDES بکار گرفته شد.

پروژه بررسی خودکار رویدادها
در 1984 تا 1985، یک گروه تحقیقاتی در سایتک( Sytek) اداره یکی از پروژه‌های تحت حمایت SPAWARS را بر عهده گرفت. پروژه بررسی خودکار رویدادها منتج به یک سیستم نمونه شد که از داده‌های جمع‌آوری شده از پوسته سیستم‌عامل UNIX استفاده می‌کرد. سپس داده‌ها پس از ذخیره‌سازی در یک پایگاه داده‌ها مورد بررسی قرار می‌گرفتند. این پروژه‌ بر قابلیت سیستم‌های تشخیص نفوذ در جدا کردن استفاده‌های نرمال و غیرنرمال از سیستم‌های کامپیوتری، تمرکز داشت.

سیستم Discovery
Discovery یک سیستم خبره بود که برای تشخیص و جلوگیری از مشکلات موجود در پایگاه داده بر خط TRW طراحی شد. این سیستم از آن جهت که بجای تمرکز بر سیستم عامل برای تشخیص نفوذ در یک پایگاه داده بکار گرفته شد، از نظر تحقیقات و پیاده‌سازی با دیگر سیستم‌های ارائه شده تا آن زمان تفاوت داشت. رویکرد ناهنجاری و سوء استفاده که در شماره بعدی مقاله آنها را توضیح خواهیم داد، استفاده می‌کرد. تحقیق انجام شده به عنوان پایه‌ای برای بسیاری از تحقیقات انجام شده در زمینه تشخیص نفوذ در دهه 1980، قرار گرفت. مقاله ارائه شده توسط دنینگ در سال 1987 روی این موضوع به عنوان یکی دیگر از کارهای اولیه در زمینه تشخیص نفوذ، مطرح است. مدل ارائه شده توسط دنینگ و نیومن در مؤسسه SRI و بین سال های 1986 تا 1992 در طراحی نسخه کاربردی IDES بکار گرفته شد.

پروژه بررسی خودکار رویدادها
در 1984 تا 1985، یک گروه تحقیقاتی در سایتک اداره یکی از پروژه‌های تحت حمایت SPAWARS را بر عهده گرفت. پروژه بررسی خودکار رویدادها منتج به یک سیستم نمونه شد که از داده‌های جمع‌آوری شده از پوسته سیستم‌عامل UNIX استفاده می‌کرد. سپس داده‌ها پس از ذخیره‌سازی در یک پایگاه داده‌ها مورد بررسی قرار می‌گرفتند. این پروژه‌ بر قابلیت سیستم‌های تشخیص نفوذ در جدا کردن استفاده‌های نرمال و غیرنرمال از سیستم‌های کامپیوتری، تمرکز داشت.

سیستم Haystack
کار اولیه روی این سیستم بین سال‌های 1987 تا 1989 در TAS و از سال های 1989 تا 1991 در آزمایشگاه‌های Haystack برای نیروی هوایی ارتش امریکا و بخش CSC (Cryptologic Support Center) آن انجام شد. این سیستم برای تشخیص نفوذگران داخلی بخش SBLC نیروی هوایی بکار گرفته شد. کامپیوترهای این بخش، مین‌فرم‌های Sperry 1100/60 با سیستم عامل‌های قدیمی دهة 70 بودند که برای پردازش خاص بر روی داده‌ها استفاده می‌شدند.

سیستم MIDAS
این سیستم توسط مرکز ملی امنیت کامپیوتری (National Computer Security Center) ارائه شد که وظیفه آن نظارت بر سیستم Dockmaster این مرکز که از سیستم‌عامل امن Honey DPS 8170 استفاده می‌کرد، بود. بنابراین MIDAS (Multics Intrusion Detection and Alerting System) به گونه‌ای طراحی شده بود که از رویدادهای ثبت شده توسط Dockmaster استفاده کند. خود سیستم به رویدادهای ثبت شده اطلاعات دیگر استخراج شده از سیستم را اضافه می‌کرد. این سیستم یکی از اولین سیستم‌هایی است که سیستم مورد نظارت آن به اینترنت متصل بود.

سیستم NADIR
این سیستم توسط شاخه محاسبات آزمایشگاه ملی لوس آلاموس برای نظارت بر فعالیت‌های کاربر روی یک شبکه محاسبات مجتمع در لوس آلاموس بکار گرفته شد. NADIR (Network Anomaly Detector and Intrusion Reporter) نظارت بر شبکه را با پردازش رد وقایع تولید شده توسط نودهای خاص شبکه انجام می‌داد. این سیستم برای اجرا روی ایستگاه‌های کاری UNIX طراحی شده بود و مانند بسیاری دیگر از سیستم‌های آن زمان از یک سیستم خبره و یک آنالیز‌گر آماری همزمان استفاده می‌کرد.

سیستم NSM
سیستم NSM (Network System Monitor) برای اجرا روی سیستم های SUN UNIX در دانشگاه کالیفرنیا طراحی شد. NSM اولین سیستمی بود که برداده‌های شبکه نظارت می‌کرد و منبع اصلی آن برای تشخیص داده‌های استخراج شده از ترافیک شبکه بود. قبل از این منابع مورد استفاده توسط سیستم‌های تشخیص نفوذ اطلاعات دریافتی از سیستم عامل و رد وقایع ثبت شده در سیستم و همچنین اطلاعات دریافتی از نرم‌افزارهای ناظر صفحه کلید بود. سیستم‌هایی که معرفی شدند به عنوان ریشه تحقیقاتی که منجر به طراحی سیستم‌های تجاری و متن‌باز فعلی گردید مطرح می‌باشند. در شماره بعدی مقاله ضمن اشاره به رویکردهای تشخیص نفوذ به بررسی وضعیت فعلی این سیستم‌ها می‌پردازیم.