-
-
-
-
-
- روش تحلیل
-
-
-
-
دو رویکرد کلی جهت تحلیل ترافیک مشکوک در سیستمهای اطلاعاتی وجود دارد.
رویکرد مبتنی بر امضا[۲۶]
این رویکرد به دنبال یافتن امضایی از حملات شناخته شده در بستههای شبکه میباشد امضای حملات باید به دقت و توسط افراد متخصص از حملات روی داده شده استخراج و در بانک داده مربوط به سیستم شناسایی ذخیره گردند. تکنیکهایی که از این رویکرد استفاده می کنند، دارای نرخ تشخیص و سرعت بالایی بوده و در کاربردهای تجاری از آنها کمک میگیرند. در عین حال با توجه به رشد انفجاری و ظهور انواع متفاوت حملات، به روز نگه داشتن پایگاه داده امضاها بسیار مشکل است. از این رو قادر به شناسایی حملات جدید نمیباشند.
رویکرد مبتنی بر ناهنجاری[۲۷]
این رویکرد در زمینه های تحقیقاتی بسیار مورد توجه است، یک مدل از ترافیک نرمال شبکه ایجاد می شود و در صورتی که ترافیک دریافتی تفاوت قابل ملاحظه ای با مدل نرمال داشت، آن را به عنوان ترافیک نا بهنجار و نشانه نفوذ، شناسایی می کنند. مزیت اصلی تکنیک های مبتنی بر این روش، قابلیت شناسایی حملات نوظهور می باشد. همچنین نیازی به استفاده از افراد خبره برای تولید مدل نرمال ندارد و این مدل به صورت اتوماتیک تولید می شود. علی رغم قابلیت تطبیقپذیری روشهای مرتبط با این رویکرد، شناسایی رفتار نرمال بسیار چالش برانگیز است. در نتیجه، در شرایطی که رفتار نرمال به صورت صحیح مدل سازی نشود، این رویکرد دارای نرخ خطای قابل ملاحظهای میباشد. به عنوان مثال، تغییرات ناگهانی پیش آمده در سیستم ممکن است به عنوان رفتار ناهنجار شناسایی شوند. از سویی دیگر ممکن است قادر به شناسایی حملات شناخته شده نباشد چرا که برمبنای مدل نرمال تعریف شده، رفتار متفاوتی از خود بروز نمی دهند.
-
-
-
-
-
- نحوه نظارت[۲۸]
-
-
-
-
سیستم شناسایی نفوذ، می تواند به شکل ایستا عمل کرده و به صورت دورهای از محیط، نمونههای تکی[۲۹] تهیه کرده و تحلیل خود را بر اساس آن انجام دهد. این سیستم، همچنین می تواند به صورت برخط[۳۰] از محیط به صورت پیوسته[۳۱] نمونه تهیه کند و به شکل پویا مورد استفاده قرار گیرد.
-
-
-
-
-
- روش پاسخگویی[۳۲]
-
-
-
-
[یکشنبه 1400-08-02] [ 06:05:00 ق.ظ ]
|