تشخیص و جلوگیری از نفوذ

امروزه با پیشرفت چشمگیر در طراحی و تولید سخت‌افزارها و مدارهای خاص منظوره (ASIC) و توسعه معماری‌های نوین در طراحی و تولید نرم‌افزارها امکان استفاده از این ایده و تکنولوژی برای طیف گسترده‌ای از سیستم‌های کامپیوتری امکانپذیر شده است.
تشخیص و جلوگیری از نفوذ (Intrusion Detection and Prevention) امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های کامپیوتری مطرح است. زمانی که برای اولین بار ایده استفاده از این سیستم‌ها مطرح گردید، به دلیل بار پردازشی فراوان تنها مورد استقبال محیط‌های نظامی و تجاری مهم قرار گرفت. امروزه با پیشرفت چشمگیر در طراحی و تولید سخت‌افزارها و مدارهای خاص منظوره (ASIC) و توسعه معماری‌های نوین در طراحی و تولید نرم‌افزارها امکان استفاده از این ایده و تکنولوژی برای طیف گسترده‌ای از سیستم‌های کامپیوتری امکانپذیر شده است.
امروزه دیگر سیستم‌های تشخیص نفوذ را به عنوان سیستم‌‌هایی مجزا در نظر نمی‌گیریم بلکه این سیستم‌ها به عنوان زیرسیستم‌هایی از تجهیزات شبکه، سیستم‌های عامل و حتی سرویس‌ها قابل به‌کارگرفته می‌شوند. هدف در این مقاله بررسی این تکنولوژی به عنوان راه آینده در امن‌سازی و مدیریت سیستم‌های کامپیوتری در آینده‌ای نزدیک است. بر این اساس در قسمت اول به تاریخچه این سیستم‌ها می‌پردازیم. بررسی رویکردهای نوین در تشخیص و ممانعت از نفوذ و آینده این تکنولوژی عناوین شماره‌های بعدی این بحث خواهد بود.
● تاریخچه
بعد از سال ۱۹۷۰ و با افزایش سرعت، حوزه کاربرد و تعداد کامپیوترها نیاز به امنیت کامپیوتری بیش از پیش آشکار شد. در این سال‌ها بود که سازمان ملی استاندارد‌های آمریکا (US National Bureau of Standards) گردهم‌آیی با حضور دولت مردان و سازمان‌های نظارت بر تجارت برگزار کرد که حاصل آن گزارشی بیانگر وضعیت بازرسی و امنیت در زمینه‌های الکترونیکی- تجاری بود. در همان زمان وزارت دفاع آمریکا (US Department Of Defence (DOD))، متوجه افزایش استفاده از کامپیوترها در سیستم‌های نظامی و در نتیجه آن اهمیت امنیت این سیستم‌ها شد. بررسی این موضوع به جیمز «پی اندرسون» واگذار گردید. جیمز پی اندرسون به عنوان نخستین فردی که نیاز به بررسی خودکار وقایع ثبت شده در سیستم در جهت اهداف امنیتی را مطرح کرد، شناخته می‌شود. اندرسون در سال ۱۹۸۰ گزارشی ارائه داد که از آن به عنوان ابتدائی‌ترین فعالیت در زمینه تشخیص نفوذ یاد می‌شود.
در این گزارش او تغییراتی را در نحوه ثبت وقایع سیستم و بررسی آنها، در جهت فراهم آوردن اطلاعات مورد نیاز پرسنل امنیتی برای ردیابی مشکلات امنیتی، پیشنهاد کرد. در همین گزارش بود که مفهوم کاهش اطلاعات ثبت شده، حذف رکوردهای زیادی و بی‌ربط از اطلاعات، بیان شد. به صورتی که در شماره سوم مقاله توضیح خواهیم داد ایده اصلی سیستم‌های Log/Alert Correlation از این مفهوم نشات می‌گیرد.
● IDES
از ۱۹۸۴ تا ۱۹۸۶ دوروتی دنینگ و پیتر نیومن تحقیقات و طراحی IDES که یک سیستم تشخیص نفوذ بلادرنگ (Real-Time) بود به انجام رسانیدند. این تحقیق که تحت حمایت SPAWARS (Space And Naval Warfare Systems) انجام شد، از هر دو رویکرد ناهنجاری و سوء استفاده که در شماره بعدی مقاله آنها را توضیح خواهیم داد، استفاده می‌کرد. تحقیق انجام شده به عنوان پایه‌ای برای بسیاری از تحقیقات انجام شده در زمینه تشخیص نفوذ در دهه ۱۹۸۰، قرار گرفت. مقاله ارائه شده توسط دنینگ در سال ۱۹۸۷ روی این موضوع به عنوان یکی دیگر از کارهای اولیه در زمینه تشخیص نفوذ، مطرح است. مدل ارائه شده توسط دنینگ و نیومن در مؤسسه SRI و بین سال های ۱۹۸۶ تا ۱۹۹۲ در طراحی نسخه کاربردی IDES بکار گرفته شد.
● پروژه بررسی خودکار رویدادها
در ۱۹۸۴ تا ۱۹۸۵، یک گروه تحقیقاتی در سایتک( Sytek) اداره یکی از پروژه‌های تحت حمایت SPAWARS را بر عهده گرفت. پروژه بررسی خودکار رویدادها منتج به یک سیستم نمونه شد که از داده‌های جمع‌آوری شده از پوسته سیستم‌عامل UNIX استفاده می‌کرد. سپس داده‌ها پس از ذخیره‌سازی در یک پایگاه داده‌ها مورد بررسی قرار می‌گرفتند. این پروژه‌ بر قابلیت سیستم‌های تشخیص نفوذ در جدا کردن استفاده‌های نرمال و غیرنرمال از سیستم‌های کامپیوتری، تمرکز داشت.
● سیستم Discovery
Discovery یک سیستم خبره بود که برای تشخیص و جلوگیری از مشکلات موجود در پایگاه داده بر خط TRW طراحی شد. این سیستم از آن جهت که بجای تمرکز بر سیستم عامل برای تشخیص نفوذ در یک پایگاه داده بکار گرفته شد، از نظر تحقیقات و پیاده‌سازی با دیگر سیستم‌های ارائه شده تا آن زمان تفاوت داشت. رویکرد ناهنجاری و سوء استفاده که در شماره بعدی مقاله آنها را توضیح خواهیم داد، استفاده می‌کرد. تحقیق انجام شده به عنوان پایه‌ای برای بسیاری از تحقیقات انجام شده در زمینه تشخیص نفوذ در دهه ۱۹۸۰، قرار گرفت. مقاله ارائه شده توسط دنینگ در سال ۱۹۸۷ روی این موضوع به عنوان یکی دیگر از کارهای اولیه در زمینه تشخیص نفوذ، مطرح است. مدل ارائه شده توسط دنینگ و نیومن در مؤسسه SRI و بین سال های ۱۹۸۶ تا ۱۹۹۲ در طراحی نسخه کاربردی IDES بکار گرفته شد.
● پروژه بررسی خودکار رویدادها
در ۱۹۸۴ تا ۱۹۸۵، یک گروه تحقیقاتی در سایتک اداره یکی از پروژه‌های تحت حمایت SPAWARS را بر عهده گرفت. پروژه بررسی خودکار رویدادها منتج به یک سیستم نمونه شد که از داده‌های جمع‌آوری شده از پوسته سیستم‌عامل UNIX استفاده می‌کرد. سپس داده‌ها پس از ذخیره‌سازی در یک پایگاه داده‌ها مورد بررسی قرار می‌گرفتند. این پروژه‌ بر قابلیت سیستم‌های تشخیص نفوذ در جدا کردن استفاده‌های نرمال و غیرنرمال از سیستم‌های کامپیوتری، تمرکز داشت.
● سیستم Haystack
کار اولیه روی این سیستم بین سال‌های ۱۹۸۷ تا ۱۹۸۹ در TAS و از سال های ۱۹۸۹ تا ۱۹۹۱ در آزمایشگاه‌های Haystack برای نیروی هوایی ارتش امریکا و بخش CSC (Cryptologic Support Center) آن انجام شد. این سیستم برای تشخیص نفوذگران داخلی بخش SBLC نیروی هوایی بکار گرفته شد. کامپیوترهای این بخش، مین‌فرم‌های Sperry ۱۱۰۰/۶۰ با سیستم عامل‌های قدیمی دهة ۷۰ بودند که برای پردازش خاص بر روی داده‌ها استفاده می‌شدند.
● سیستم MIDAS
این سیستم توسط مرکز ملی امنیت کامپیوتری (National Computer Security Center) ارائه شد که وظیفه آن نظارت بر سیستم Dockmaster این مرکز که از سیستم‌عامل امن Honey DPS ۸۱۷۰ استفاده می‌کرد، بود. بنابراین MIDAS (Multics Intrusion Detection and Alerting System) به گونه‌ای طراحی شده بود که از رویدادهای ثبت شده توسط Dockmaster استفاده کند. خود سیستم به رویدادهای ثبت شده اطلاعات دیگر استخراج شده از سیستم را اضافه می‌کرد. این سیستم یکی از اولین سیستم‌هایی است که سیستم مورد نظارت آن به اینترنت متصل بود.
● سیستم NADIR
این سیستم توسط شاخه محاسبات آزمایشگاه ملی لوس آلاموس برای نظارت بر فعالیت‌های کاربر روی یک شبکه محاسبات مجتمع در لوس آلاموس بکار گرفته شد. NADIR (Network Anomaly Detector and Intrusion Reporter) نظارت بر شبکه را با پردازش رد وقایع تولید شده توسط نودهای خاص شبکه انجام می‌داد. این سیستم برای اجرا روی ایستگاه‌های کاری UNIX طراحی شده بود و مانند بسیاری دیگر از سیستم‌های آن زمان از یک سیستم خبره و یک آنالیز‌گر آماری همزمان استفاده می‌کرد.
● سیستم NSM
سیستم NSM (Network System Monitor) برای اجرا روی سیستم های SUN UNIX در دانشگاه کالیفرنیا طراحی شد. NSM اولین سیستمی بود که برداده‌های شبکه نظارت می‌کرد و منبع اصلی آن برای تشخیص داده‌های استخراج شده از ترافیک شبکه بود. قبل از این منابع مورد استفاده توسط سیستم‌های تشخیص نفوذ اطلاعات دریافتی از سیستم عامل و رد وقایع ثبت شده در سیستم و همچنین اطلاعات دریافتی از نرم‌افزارهای ناظر صفحه کلید بود. سیستم‌هایی که معرفی شدند به عنوان ریشه تحقیقاتی که منجر به طراحی سیستم‌های تجاری و متن‌باز فعلی گردید مطرح می‌باشند. در شماره بعدی مقاله ضمن اشاره به رویکردهای تشخیص نفوذ به بررسی وضعیت فعلی این سیستم‌ها می‌پردازیم.
گسترش و توسعه این سیستم‌ها تا سال‌ها پس از معرفی، به عنوان سیستم‌هایی مجزا مطرح بود. سیستم‌هایی که به صورت Passive تنها به جمع‌‌آوری اطلاعات و بررسی آن‌ها در راستای کشف حملات و نفوذ می‌پرداختند. تا مدت‌ها این سئوال مطرح بود که مزایای استفاده از این سیستم‌ها چیست؟ چرا هزینه و سربار استفاده از این سیستم‌ها را بپذیریم در حالی که دسترسی‌ها را با فایروال محدود کرده‌ایم، سیستم‌ها به طور مرتب وصله‌های امنیتی را دریافت می‌کنند، از آنتی‌ویروس استفاده می‌کنیم و کلمات عبور مناسب انتخاب می‌کنیم؟
متخصصین امنیت اطلاعات توافق دارند که حتی با به کارگیری تمامی مکانیزم‌های امنیتی ممکن رسیدن به امنیت مطلق امکان‌پذیر نیست و باید همواره منتظر حملات جدید باشیم. همواره این احتمال وجود دارد که در تنظیم قواعد دسترسی در فایروال اشتباه کرده باشیم، ممکن است سیستم‌های ما در معرض حملات جدیدی قرار بگیرند که ما از چگونگی آنها بی‌اطلاع باشیم، و یا حتی موجودیت‌های مجاز که امکان دسترسی به سیستم‌ها را دارند دست به اجرای حمله و عملیات نفوذ بزنند. همانطور که در بخش قبل بیان شد، جست‌وجو جهت بررسی وضعیت سیستم‌ها و مشکلات مرتبط با کارکرد و امنیت آنها تا قبل از ایده بکارگیری IDS نیز مطرح بوده است ولی این کار عموما توسط مدیران سیستم و با بررسی و مرور رویدادهای ثبت شده صورت می‌گرفت. با افزایش چشمگیر استفاده از کامپیوترها و شبکه‌های کامپیوتری بررسی‌ حجم بالای رویدادهای تولید شده به صورت دستی و توسط مدیران سیستم امکان‌پذیر نبود.
پس استفاده از IDS حتی در صورتی‌که به صورت برون-خط به کار گرفته شود تا حد قابل توجهی به سادگی مدیریت سیستم‌ها و شبکه‌های کامپیوتری کمک می‌کند. به تدریج با رشد و توسعه سیستم‌های IDS و افزایش دقت این سیستم‌ها از طریق به‌کارگیری الگوریتم‌های هوشمند از یک سو و پیشرفت سخت‌افزارهای محاسباتی از سوی دیگر امکان عملکرد درون-خط این سیستم‌ها فراهم گردید. سیستم‌های Inline IDS منابع تحت نظارت خود را به صورت بلادرنگ مورد ارزیابی قرار می‌دهند و ضمن تشخیص حملات در حال انجام نسبت به انسداد عملیات نفوذی اقدام می‌کنند. اگرچه به دلیل امکان انسداد حمله عنوان IPS به این سیستم‌ها اطلاق گردید، ولی تشخیص حمله به عنوان اصلی‌ترین و پیچیده‌ترین وظیفه این سیستم‌ها مطرح است.
● پروسه تشخیص نفوذ
تشخیص و جلوگیری از نفوذ سه وظیفه اصلی جمع‌آوری داده‌ها، آنالیز داده‌ها و عملیات پاسخ را شامل می‌شود. در بخش جمع‌آوری داده‌ها سیستم اطلاعات مورد نیاز خود را مانند دسترسی به فایل‌های مختلف تحت نظارت و یا اطلاعات در مورد عملکرد شبکه، جمع‌آوری می‌کند. در سیستم‌های مبتنی بر میزبان داده‌ها بر اساس منابع داخل میزبان که اکثراً در سطح سیستم‌عامل می‌باشند جمع‌آوری می‌شود. از سوی دیگر در سیستم‌های مبتنی بر شبکه با آنالیز بسته‌های عبوری در شبکه پارامترهای مورد نیاز جهت تشخیص نفوذ در اختیار بخش آنالیز قرار می‌گیرند. تعیین دقیق داده‌هایی که باید جمع‌آوری شوند مسئله‌ای حساس در عملکرد IDS است.
اکثر سیستم‌های عامل رویدادهای مرتبط با امنیت را جمع‌آوری می‌کنند که می‌تواند منبع اطلاعات خوبی برای IDS باشد. اما این رویدادها در بیشتر مواقع اطلاعات ساده‌ای نظیر دفعات خطا در ورود به سیستم و یا تلاش برای دسترسی به منابع غیر مجاز توسط کاربران را ارائه می‌کنند. این اطلاعات جهت تشخیص حملاتی که با سناریوهای پیچیده‌ و استفاده از اختیارات مجاز یک کاربر انجام می‌شوند چندان مفید نیست. بنابراین سیستم‌های تشخیص نفوذ علاوه بر استفاده از رویدادهای سیستم‌های مورد نظارت، حس‌گرهایی را جهت جمع‌آوری داده‌های مورد نیازشان به کار می‌گیرند. این حسگرها ممکن است در یک میزبان به بررسی جوانب مختلف عملیات سیستم بپردازند و یا در یک معماری توزیع‌شده در نقاط مختلف شبکه و میزبان‌های محیط تحت نظارت خود قرار بگیرند.
با پیچیده‌تر شدن سناریوهای حملات حجم اطلاعاتی که لازم است تا حس‌گرها جمع‌آوری کنند افزایش می‌یابد. این مساله نه تنها باعث پیچیدگی آنالیز داده‌ها می‌گردد بلکه مسئله دیگری تحت عنوان ذخیره‌‌سازی و بازیابی سریع اطلاعات را مطرح می‌کند که در بخش بعدی مقاله به بررسی رویکردهای جدید در حل این مساله اشاره می‌کنیم. دو رویکرد اصلی برای بخش آنالیز یا تحلیل تشخیص نفوذ مطرح است. تشخیص سوء استفاده که وقایع را برای یافتن الگوهای از پیش تعریف شده سوء‌استفاده یا حمله مورد جستجو قرار می‌دهد و تشخیص ناهنجاری که انحراف سیستم از وضعیت عملکرد نرمال را گزارش می‌کنند. مهم‌ترین بحث بین رویکرد تشخیص سوءاستفاده و تشخیص ناهنجاری میزان همپوشانی فعالیت‌های نرمال و غیر نرمال است.
دنینگ ثابت کرد که ناحیه فعالیت سوء استفاده به اندازه کافی خارج از ناحیه فعالیت نرمال قرار می‌گیرد یعنی فصل مشترک بین دو ناحیه حداقل است و لذا از روی ویژگی های رفتار نرمال می‌توان ناهنجاری را تشخیص داد. اما در دیدگاهی دیگر عنوان می‌شود که این فصل مشترک خیلی بزرگ است بنابراین ممکن است در تشخیص فعالیت نرمال خطا وجود داشته باشد. از نگاهی دیگر سیستم‌های تشخیص سوء‌استفاده به دلیل آنکه الگوهای حملات پیشین را در خود دارند،‌ می‌توانند به تعیین دقیق حمله اتفاق افتاده به صورت بلادرنگ بپردازند. از سوی دیگر سیستم‌های تشخیص ناهنجاری امکان تشخیص حملات ناشناخته و جدید را دارند زیرا آنچه برای این سیستم‌ها تعریف شده است فعالیت نرمال سیستم است و هر اتفاقی خلاف آن اعم از شناخته شده یا ناشناخته را به عنوان حمله گزارش می‌کنند.
عملیات پاسخ یک سیستم تشخیص نفوذ، می‌تواند انواع متفاوتی داشته باشد. تولید هشدار ساده‌ترین عکس‌العملی است که این سیستم‌ها در زمان تشخیص حمله انجام می‌دهند. در نسل نوین این سیستم‌ها عملیات پاسخ می‌تواند شامل فعالیت‌های جدی‌تری به صورت ارسال پیام به مدیر سیستم، خارج‌کردن بسته‌های حمله از شبکه، بستن نشست‌های حمله، جلوگیری از ادامه فعالیت کاربر مشکوک، خاموش کردن سیستم تحت نظارت، ارسال فرمان انسداد ترافیک به روترها، تعریف سیاست فلیترینگ ترافیک در فایروال‌ها، فعال‌کردن عامل‌های خاص جهت انسداد حمله باشد.
● خطا در سیستم‌های تشخیص نفوذ
از مسائل مهم در تعیین صحت عملکرد سیستم‌های تشخیص نفوذ، مساله هشدارهای غلط است. این هشدارها در دو دسته هشدارهای غلط- مثبت و هشدارهای غلط- منفی قرار می‌گیرند. هشدار غلط- مثبت زمانی رخ می‌دهد که سیستم به اشتباه یک فعالیت مجاز را فعالیتی نفوذی تشخیص دهد و در مورد دیگر، هشدار غلط- منفی، سیستم قادر به تشخیص رفتار نفوذی نخواهد بود. با توجه به نوع محیطی که سیستم به حفاظت از آن می‌پردازد، بهبود عملکرد سیستم با استفاده از کاهش یکی از این دسته هشدارهای غلط صورت می‌پذیرد. به عنوان مثال در یک سیستم بانکداری اینترنتی کاهش هشدارهای غلط-مثبت اهمیت فوق‌العاده‌ای دارد زیرا قطع فعالیت کاربران مجاز می‌تواند باعث نارضایتی مشتریان و زیان مالی به بانک شود. اما در یک محیط نظامی به دلیل حساسیت بسیار بالای اطلاعات سیستم‌ها پیکربندی IDS باید در جهت کاهش هشدارهای غلط-منفی باشد.