پایان نامه جهت اخذ مدرک کارشناسی مهندسی کامپیوتر
گرایش : نرم افزار
عنوان :
سیستم تشخیص نفوذ
نگارش :
استاد راهنما :
تابستان 92
به نام خدا
پایان نامه کارشناسی
عنوان : سیستم تشخیص نفوذ
نگارش :
استاد راهنما :
امضاء
تاریخ :
سپاسگزاری :
با سپاس از سه وجود مقدس آنان که ناتوان شدند تا ما به توانایی برسیم موهایشان سپید شد تا مارو سفید شویم و عاشقانه سوختند تا گرما بخش وجود ما و روشنگر راهمان باشند
پدرم مادرم
استادانم
چکیده
برای ایجاد امنیت کامل در یک سیستم کامپیوتری، علاوه بر دیواره های آتش و دیگر تجهیزات جلوگیری از نفوذ، سیستمهای دیگری به نام سیستم های تشخیص نفوذ (IDS) مورد نیاز می باشند تا بتوانند در صورتی که نفوذگر از دیواره ی آتش، آنتی ویروس و دیگرتجهیزات امنیتی عبور کرد و وارد سیستم شد، آن را تشخیص داده و چاره ای برای مقابله با آن بیاندیشند. سیستم های تشخیص نفوذ را می توان از سه جنبه ی روش تشخیص، معماری و نحوه ی پاسخ به نفوذ طبقه بندی کرد. انواع روش های تشخیص نفوذ عبارتند از تشخیص رفتار غیرعادی و تشخیص سوءاستفاده)تشخیص مبتنی بر امضاء(. انواع مختلفی از معماری سیستمهای تشخیص نفوذ وجود دارد که به طور کلی می توان آن ها را در سه دسته ی مبتنی بر میزبان،(HIDS) و توزیع شده (NIDS) مبتنی بر شبکه (DIDS) تقسیم بندی نمود.
فهرست مطالب
عنوان صفحه
مقدمه 1
فصل اول : نگاهی بر سیستم های تشخیص نفوذ (IDS)
سیستم های تشخیص نفوذ 3
1) انواع روشهای تشخیص نفوذ 4
الف-1) روش تشخیص رفتار غیر عادی 5
ب-1) روش تشخیص سوء استفاده یا تشخیص مبتنی بر امضاء 8
انواع معماری سیستم های تشخیص نفوذ 8
سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS) 9
سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS) 10
سیستم تشخیص نفوذ مبتنی بر توزیع شده (DIDS) 14
2) روشهای برخورد و پاسخ به نفوذ 14
پاسخ غیر فعال در سیستم تشخیص نفوذ 15
پاسخ فعال در سیستم تشخیص نفوذ 16
3) چرا دیواره آتش به تنهایی کافی نیست ؟ 16
4) فلوچارتهای پروژه 17
زبان مدلسازی یکنواخت 17
نمودار موارد کاربردی 17
نمودار توالی 18
فصل دوم : رهیافت انجام پروژه
ساختار داده ای سیستم تشخیص نفوذ 23
Packet Sniffer 23
Preprocessor 23
Detection Engine 24
فصل سوم : مدیریت پروژه
صفحه ورود کاربر admin 27
صفحه اصلی سیستم تشخیص نفوذ 27
مدیریت قوانین 28
صفحه ویرایش قوانین یا ایجاد قوانین 29
مدیریت لاگ ها 30
اطلاعات بسته یا رکورد ورودی 31
مدیریت آلرت ها 32
مدیریت بلاک شده ها 33
مدیریت آی پی ها 34
ابزارها 35
فصل چهارم : کدهای برنامه
پیوست 37
منابع
منابع لاتین 51
منابع فارسی 52
فهرست شکل ها
عنوان صفحه
شکل 1-1 نمودار موارد کاربردی 18
شکل 1-2 نمودار توالی 19
شکل 2-1 ساختار داده ای سیستم تشخیص نفوذ 23
شکل 2-2 Preprocessor 24
شکل 2-3 Detection Engine 25
شکل 3-1 فرم ورود به سیستم 27
شکل 3-2 صفحه اصلی Interface 27
شکل 3-3 مدیریت قوانین 28
شکل 3-4 ایجاد قانون 29
شکل 3-5 مدیریت لاگ ها 30
شکل 3-6 اطلاعات رکورد 31
شکل 3-7 مدیریت آلرت ها 32
شکل 3-8 مدیریت بلاک شده ها 33
شکل 3-9 مدیریت آی پی ها 34
شکل 3-10 ابزارها 35
مقدمه
در دنیای امروز، کامپیوتر و شبکه های کامپیوتری متصل به اینترنت نقش عمده ای در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوز به سیستم های کامپیوتری را در پیش گرفته اند Intruder و Cracker ،Hacker کلماتی هستند که امروزه کم و بیش در محافل کامپیوتری مطرح می باشند و اقدام به نفوذ به سیست مهای دیگر کرده و امنیت آن ها را به خطر می اندازد. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه های کامپیوتری که با دنیای خارج ارتباط دارند، کاملا محسوس است.
از آنجا که از نظر تکنیکی ایجاد سیستم های کامپیوتری( سخت افزار و نرم افزار) بدون نقاط ضعف و شکست امنیتی عملا غیرممکن است، تشخیص نفوذ در تحقیقات سیست مهای کامپیوتری با اهمیت خاصی دنبال می شود.
سیستم های تشخیص نفوذ (IDS) برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است. عموما سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.
فصل اول
نگاهی برسیستم های تشخیص نفوذ
(IDS)
سیستم های تشخیص نفوذ :
سیستم های تشخیص نفوذ (IDS) وظیفه ی شناسایی و تشخیص هر گونه استفاده ی غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دسته ی کاربران داخلی و خارجی را بر عهده دارند. سیستم های تشخیص نفوذ به صورت سیستم های نرم افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم های سخت افزاری است و عدم شکست امنیتی آن ها توسط نفوذگران، قابلیت دیگر این گونه سیستم ها می باشد. اما استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیستم های عامل مختلف، عمومیت بیشتری را به سیستم های نرم افزاری می دهد و عموما این گونه سیستم ها انتخاب مناسب تری هستند .
روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات ، پویش پورتها ، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد ، می تواند نفوذ خرابکاریها را گزارش و کنترل کند. از قابلیتهای دیگر IDS ، امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه و یا بستن ارتباطهای مشکوک و مظنون می باشد.ابزار IDS قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی را دارد.
بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاههای امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
1- سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
2- ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
3- نرم افزارهای ضدویروس که برای تشخیص انواع کرمها، ویروسها و به طورکلی نرم افزارهای خطرناک تهیه شده اند.
4- دیواره آتش (Firewall )
5- مکانیزمهای امنیتی مانند SSL ، VPN و Radius و …
به طور کلی سه عملکرد اصلی (IDS) عبارتند از:
1) نظارت و ارزیابی
2) کشف
3) واکنش
بر همین اساس هر IDS را می توان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد .
1) انواع روشهای تشخیص نفوذ
نفوذ به مجموعه ی اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق می گردد. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد.
نفوذگرها عموماً از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.
به منظور مقابله با نفوذگران به سیستم ها و شبکه های کامپیوتری، روش های متعددی تحت عنوان رو شهای تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارد. روش های تشخیص مورد استفاده در سیستم های تشخیص نفوذ به دو دسته تقسیم می شوند:
الف- روش تشخیص رفتار غیر عادی
ب- روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
الف-1) روش تشخیص رفتار غیرعادی
در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه ها ی عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی روند، عبارتند از:
الف- تشخیص سطح آستانه
تعداد ورود و خروج به / از سیستم و یا زمان استفاده از سیستم، از مشخصه های رفتار سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتار غیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست. این سطح کاملاً ایستا و اکتشافی است.
ب- معیارهای آماری
در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می شود و در حالت غیر پارامتریک بر اساس مقادیری که به تجربه حاصل شده است مقایسه صورت می گیرد. از IDS های معروف که از انداز هگیری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می کنند، می توان NIDS را نام برد.
ج- معیارهای قانو نگرا
شبیه به معیارهای آماری غیرپارامتریک است، به طوری که داده ی مشاهده شده براساس الگوهای استفاده شده ی مشخصی به طور قابل قبول تعریف م یشود. اما با الگوهایی که به عنوان قانون مشخص شده فرق دارد و به صورت شمارشی نیست.
د- سایر معیارها
روش های خوشه بندی، شبکه های عصبی، الگوریتم های ژنتیک و مدل های سیستم ایمنی از این دسته هستند.
دو معیار اول یعنی تشخیص سطح آستانه و معیار های آماری در IDS های تجاری استفاده می شوند. متاسفانه تشخیص دهندگان نفوذ های غیرعادی و IDS هایی از این نوع، باعث ایجاد تعداد زیادی هشدار نادرست می شوند و آن هم به خاطر این است که الگوهای رفتاری از جانب استفاده کنندگان و سیستم بسیار متفاوت است. در عوض محققان ادعا می کنند برخلاف روش های تشخیص مبتنی بر امضاء (که حتماً باید با الگوهای حملات قبلی منطبق باشند)، روشهای تشخیص رفتار غیرعادی، قادر به کشف انواع حملات جدید هستند.
تعدادی از IDS های تجاری از انواع تشخیص دهندگان رفتار غیرعادی هستند و اغلب IDS ها از این نوع بیشتر در کارهایی چون پویش پورت استفاده می شوند.
با این وجود ایجاد یک سیستم تشخیص نفوذ براساس روش تشخیص رفتارهای غیرعادی همیشه کار آسانی نیست، همچنین این روش ها از دقت رو شهای تشخیص مبتنی بر امضاء برخوردار نیستند.
ب-1) روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده است، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری می شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود. در این روش ها، معمولاً تشخیص دهنده دارای پایگاه داده ای از امضاء ها یا الگوهای حمله است و سعی می کند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه داده ی خود نگهداری می کند، بیابد. این دسته از روش ها تنها قادر به تشخیص نفوذهای شناخته شده می باشند و در صورت بروز حملات جدید در سطح شبکه، نمی توانند آن ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفو ذهایی است که الگوی آن ها عیناً به سیستم داده شده است.
انواع معماری سیستم های تشخیص نفوذ :
معماری های مختلف سیستم تشخیص نفوذ عبارتند از :
* سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)
* سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS)
* سیستم تشخیص نفوذ توزیع شده (DIDS)
سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS):
این سیستم، شناسایی و تشخیص فعالیت های غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان می تواند حملات و تهدیداتی را روی سیستم های بحرانی تشخیص دهد (شامل دسترسی به فایل ها، اسب های تروا و …) که توسط سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. HIDS فقط از میزبان هایی که روی آن ها مستقر است محافظت می کند و کارت واسط شبکه ی (NIC) آن ها به صورت پیش فرض در حالت ب اقاعده ۵ کار می کند. حالت با قاعده ی، در بعضی از موارد می تواند مفید باشد. چون همه ی کارت های واسط شبکه ی قابلیت حالت بی قاعده را ندارند. HIDS ها به واسطه ی مکان شان روی میزبانی که باید نظارت شود، از همه ی انواع اطلاعات محلی اضافی با پیاد هسازی های امنیتی (شامل فراخوانی های سیستمی، تغییرات فایل های سیستمی و اتصالات سیستم) مطلع می باشند. این مساله هنگام ترکیب با ارتباطات شبک های، داده های خوبی را برای جستجوی رویداد های ممکن فراهم می کند.
مزیت دیگر HIDS توانایی سازماندهی بسیار خوب تصمیمات برای هر میزبان منحصر به فرد می باشد. به عنوان مثال نیازی نیست روی میزبانی که سرویس نام گذاری دامنه (DNS) را اجرا نمی کند، قوانین چند گانه ای بررسی شوند که برای تشخیص سوءاستفاد ه ها از DNS طراحی شده اند. در نتیجه کاهش تعداد قوانین مربوطه، کارآیی را بالا می برد و سربار پردازنده را برای هر میزبان کاهش می دهد. همچنین HIDSها اطلاعات مشخصی در این باره که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم م یکنند. این عمل بسیار مفید است چون هیچ گونه کم کاری و حذف وجود ندارد.
در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامه های کاربردی بر می گردد. این IDS ها ترافیک کمتری نسبت به NIDS داشته و تاًکید بیشتری روی حسگرهای چندگانه ی مجزا و ایستگاه های مدیریت مرکزی دارند.
از معایب HIDSها سازگاری کم بین سیستم عامل و در نتیجه نر مافزارهای چندگانه است. اغلب IDSهای مبتنی بر میزبان تنها برای یک سیستم عامل نوشته می شوند. دیگر این که HIDS ها بعضی از حملات را که در لایه های پایین شبکه انجام م یشوند، شناسایی نمی کنند.
سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS):
نام NIDS از این حقیقت مشتق شده است که از منظر محلی که قرار گرفته، بر تمام شبکه نظارت دارد. شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیست مهای بحرانی، به عهد هی سیستم تشخیص نفوذ مبتنی بر شبکه است NIDSها اغلب از دو بخش ناظر (حسگر) و عامل تشکیل شده اند. این دو بخش اغلب در پشت دیواره ی آتش و بقی هی نقاط دسترسی برای تشخیص هر نوع فعالیت غیرمجاز نصب می شود. عامل های شبکه می توانند جایگزین زیرساختار شبکه شوند تا ترافیک شبکه را جستجو کنند. نصب عام لها و ناظرها این مزیت را دارد که هر نوع حمله ای را در ابتدا از بین می برد. ضمناً دنباله های بررسی یک یا چند میزبان می توانند برای جستجوی علائم حملات، مفید باشند.
عموماً کارت شبکه ی کامپیوتر در حالت باقاعده کار می کند. در این حالت عملیات، فقط بسته هایی که عازم آدرس ویژه ی فیزیکی(MAC) کارت شبکه هستند ( یا بسته های همه پخشی ) برای تحلیل به پشته پروتکلی فرستاده می شوند NIDS باید در حالت بی قاعده کار کند تا بر ترافیک شبکه که عازم آدرس MAC خودش نیست، نظارت داشته باشد. در حالت بی قاعده، NIDS می تواند روی همه ی ارتباطات در سگمنت های شبکه استراق سمع کند. عملیات کارت شبکه ی NIDS در حالت بی قاعده، برای حفاظت شبکه ضروری است. اگرچه از دید مقررات محرمانه و قوانین استراق سمع، نظارت بر ارتباطات شبکه مسئولیتی است که باید به دقت مورد رسیدگی قرار گیرد.
در شبکه ای که از سه واحد NIDS استفاده کرده است واحد ها روی سگمنت های استراتژیک قرار گرفته اند و می توانند بر ترافیک شبکه برای همه ی اجزای سگمنت ها نظارت کنند. این پیکربندی، استانداردی پیرامون توپولوژی امنیتی شبکه ارائه می دهد، به طوری که زیرشبکه های مجزای تحت پوشش سرویس دهنده های عمومی، به وسیله ی NIDS محافظت می شود.
NIDS ها می توانند طوری برنامه ریزی شوند که مزاحمتی در طول کار ایجاد نشود. به طوری که حضور هر حمل های که تشخیص NIDSمی دهد، درون فایل رویدادها ثبت کرده و بدون این که مهاجم متوجه شود، به مدیر شبکه اطلاع می دهد.
سیستم های تشخیص نفوذ مبتنی بر شبکه نیاز به کلمه ی عبور برای برنامه های کاربردی، حقوق مربوط به سیستم عامل شبکه یا اتصالات مربوط به سیستم در هنگام اجرای نرم افزار ندارد. همچنین از آنجا که این سیستم ها در سطح لایه ی شبکه عمل می کنند، به سیستم عامل وابستگی ندارند. ضمناً هیچگونه سربار و تغییری روی سروی سدهنده ها و ایستگاه های کاری به وجود نمی آورند، چرا که برای این سیستم های تشخیص نفوذ نیازی به نصب ابزارهای اضافی نیست.
معایب های NIDS عبارتند از:
۱- بعضی از سیستم ها قادر به جمع آوری داده با سرعت بالا نیستند. NIDS به خاطر جمع آوری و تجزیه و تحلیل با سرعت بالا، ممکن است بسیاری از بست هها را از دست بدهد. بعضی از NIDS ها در سرع تهای بالا تر از ۱۰۰Mbps دچار مشکل می شود.
۲- این سیستم ها فقط قادر ند به ترافیک سگمنت های محلی گوش دهند، یعنی فقط به کامپیوتر هایی گوش کنند که در آن سگمنت قرار دارند. ایده ال این است که NIDS به هر هاب و هر پورت معین روی یک سوییچ متصل شود. اگر حوزه ی دید محدود باشد، عملکرد نیز محدود خواهد شد.
۳- بسته به ساختار NIDS اگر میزان داده ها زیاد باشد، این داده ها به ایستگاه مدیریت مرکزی قابل برگشت می باشد. هرچه مقدار داده ی جمع آوری شده بیشتر باشد، متعاقباً ترافیک نیز بیشتر خواهد بود.
۴- واحد گزارش گیری می تواند تعداد زیادی از رویدادها را گزارش کند. به همین دلیل به یک فرد متخصص نیاز است تا گزارشات را تجزیه و تحلیل کرده و موارد نادرست را شناسایی کند.
۵- چنانچه ترافیک شبکه رمز شده باشد، NIDS نمی تواند الگوهای حمله را تشخیص دهد. به طور کلی NIDS ها در شبکه های سوییچ شده دچار مشکل هستند.
همان طور که گفته شد سیستم های تشخیص نفوذ مبتنی بر شبکه از دو بخش ناظر و عامل تشکیل شده اند.ناظر یک دستگاه یا یک بسته ی نرم افزاری شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند. عامل نرم افزاری است که معمولاً به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر برعهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن (با اعتبار سنجی و رمزنگاری) به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد. این سیستم های تشخیص نفوذ با استفاده از تکنیک هایی مانند شنود بسته ها ، داده ها را از درون بسته های اطلاعاتی TCP/IP یا سایر پروتکل ها که در حال جریان و نقل و انتقال در شبکه می باشند، استخراج می کنند. کارآیی این سیستم ها در برابر حملات جلوگیری از سرویس (DoS) و اشغال پهنای باند می باشد.
سیستم تشخیص نفوذ توزیع شده (DIDS):
این سیستم ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده است. بدین صورت که هر IDS که در شبکه موجود است گزارش های خود را برای ایستگاه مدیریت مرکزی ارسال می کند. ایستگاه مرکزی وظیفه بررسی گزارش های رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDS های موجود در شبکه را برعهده دارد. شکل ۳ یک سیستم تشخیص نفوذ توزیع شده را نمایش م یدهد. NIDS 1,2 وظیفه محافظت از سرویس دهنده های عمومی و NIDS 3,4 وظیفه محافظت از شبکه داخلی را برعهده دارند. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می شود. شبکه بین NIDS ها با سامانه مدیریت مرکزی می تواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال داده ها استفاده شود. وقتی از شبکه ی موجود برای ارسال داده های مدیریتی استفاده شود، امنیت های اضافی به وسیله ی رمزنگاری یا تکنولوژی شبک ههای خصوصی مجازی VPN حاصل می گردد.
2) روش های برخورد و پاسخ به نفوذ
قابلیت دیگر برخی از IDS ها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن ها پاسخ م یدهد. برخی از این پاسخ ها درگیر نتایج گزارش گیری و آگاهی از وضعیت بخصوص و بقیه درگیر پاس خهای خودکار فعال می باشند.
محققان پاسخ هایی را کهIDS ها به حملات م یدهند، دست کم می گیرند. اما آن ها اغلب مهم هستند. IDS های تجاری محدوده ی وسیعی از پاسخ ها را حمایت می کنند. پاسخ در IDS ها به دو شکل غیر فعال و فعال تقسیم می شوند که نوع غیر فعال به پاسخ برون خطی نیز معروف است.
پاسخ غیرفعال در سیستم تشخیص نفوذ :
این IDS ها، به مدیر امنیتی سیستم اطلاعاتی درباره ی حمله توسط تلفن همراه، نامه ی الکترونیکی، پیام روی صفحه ی کامپیوتر یا پیامی برای کنسول SNMP می دهند. این اطلاعات شامل موارد زیر است:
آدرس IP منبع حمله
آدرس IP مقصد حمله
نتیجه ی حمله
ابزار یا مکانیزم های مورد استفاده برای مهار حمله
گزارشات و اتصالات حمل ههای سیستم و رویدادهای مربوطه
پاسخ فعال در سیستم تشخیص نفوذ :
سیستم های تشخیص نفوذ از لحظه ای که به کار می افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن ها، اگر نشان هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوهای مختلف تولید م یکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه است و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیواره ی آتش و یا دستگاه های دیگری در شبکه است.
IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ م یدهند و خود به سه دسته تقسیم می شوند:
پاسخ فعال براساس جم عآوری اطلاعات اضافی
پاسخ فعال از نوع تغییر محیط
پاسخ فعال از نوع عکس العمل در مقابل حمله
3) چرا دیواره آتش به تنهایی کافی نیست ؟
به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند :
* چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
* تمام تهدیدات خارج از دیواره آتش نیستند.
* امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود ، مانند Active ، Java Applet، Virus Programs.
4) فلوچارتهای پروژه :
دراین قسمت قصد داریم که روند کاری انجام گرفته را با رسم فلوچارت به نمایش در آوریم.
زبان مدل سازی یکنواخت :
زبان مدل سازی یکنواخت ، یک زبان مدل سازی است و نه یک متدولوژی . زبان مدل سازی شامل نمودار هایی است که هر متدولوژی برای نمایش تحلیل و طراحی سیستم ها از آن استفاده می کند.
در اینجا نمودارهای سیستم ارائه گردیده است. ابتدا نمودار کلان سیستم و سپس نمودار ترتیبی سیستم قرار داده شده است.
نمودار موارد کاربردی:
توصیفی از آنچه که سیستم انجام میدهد را از دیده ناظر خارجی مدل سازی می کند. نمودار موارد کاربردی بر آنچه که انجام میشود و عاملان آن تمرکز دارد. یک مورد کاربردی ، دنباله ای از گام هاست که انجام آن نتیجه ای رضایت بخش برای کاربره خارجی در پی دارد و شخص یا سیستمی که با سیستم تعامل دارد را عامل میگوییم. نمودار موارد کاربردی نمایش دهنده ارتباط بین موارد کاربردی با یکدیگر و با عاملان است که نمایی از تعامل سیستم با محیط خارجی را نشان میدهد.
شکل 1-1 : نمودار موارد کاربردی
نمودار توالی :
یکی از نمودارهای رفتاری است که نشان میدهد چه پیغام هایی و با چه ترتیب زمانی بین اشیا همکار در یک فرایند راد و بدل میشود. اشیا شرکت کننده در بالای نمودار قرار داده میشوند و کنترل از طریقه پیام از یک شی به دیگری منتقل میشود.
شکل 1-2 : نمودار توالی
فصل دوم
ره یافت انجام پروژه
سیستم مورد نظر یک سیستم تهاجم یاب سبک مبتنی بر UNIX است که برای استفاده در شبکه های کوچک و متوسط مناسب میباشد.
این سیستم تشخیص نفوذ میتواند به عنوان SNIFFER نیز عمل کرده و ترافیک شبکه را ثبت کند. یک سری از خصوصیات این نرم افزار از قرار زیر میباشد :
* دریافت ترافیک شبکه
* آنالیز کل ترافیک شبکه و تولید هشدارهای امنیتی
* امکان مشاهده جزییات بسته ها
* ثبت ترافیک در فرم های مختلف
– متنی و تفکیک بر اساس آدرس IP
– ثبت کردن در فرمت CSV در یک فایل
– وارد کردن در پایگاه داده
* مکانیزم تولید هشدارهای امنیتی
– ثبت در یک فایل متنی CSV
– وارد کردن به پایگاه داده
* اضافه کردن قوانین و حملات جدید و همچنین وارد کردن مجموعه ای از حملات به صورت یکجا
* تشخیص حملات مختلف
* ساختار ماجولار و قابلیت افزودن ماجول
سیستم تشخیص نفوذ مورد نظر میتواند به عنوان SNIFFER،LOGGER و تهاجم یاب شبکه به کار رود. در SNIFFER ترافیک شبکه را دریافت کرده و در صفحه نمایش نشان میدهد. در LOGGER اطلاعات مربوطه را ثبت میکند.در مورد تهاجم یاب ترافیک شبکه را بررسی میکند و آنها را که با قوانین تعریف شده کاربر چک میکند و برحسب نتیجه در هر مورد اعمالی راکه از قبل تعیین شده انجام میدهد.
هر بسته ورودی به سیستم از یکسری کلمه کلیدی و مقادیرمتناظر با آنها تشکیل شده است.در زیر لیستی از این کلمات آورده شده است:
کلمه کلیدی مقدار متناظر
عنوان هر بسته یک عنوان دارد
پروتکل بسته از نوع IP باشد و پروتکل آن می تواند یکی از مقادیر ICMP,TCP,UDP… باشد
سورس IP آدرس IP مبدا می باشد
سورس پورت شماره پورت مبدا باید وارد شود
IP مقصد آدرس IP مقصد باید وارد شود
پورت مقصد شماره پورت مقصد باید وارد شود
آی دی حمله به هر حمله ای که تعریف میشود یک شناسه اختصاص میدهد
نام حمله هر حمله با یک نام مشخص می شود
فلگ ها فلگهای مورد نظر مشخص می شوند
اندازه دیتا اندازه دیتای ورودی باید مشخص باشد که اگر به عنوان مثال یک بسته با اندازه کوچکتر وارد شد آنرا به عنوان یک حمله در نظر بگیرد
اکشن عمل موردنیاز انجام میشود (لاگ ، الارت ، بلاک )
ساختار داده ای سیستم تشخیص نفوذ :
شکل 2-1 : ساختار داده ای سیستم تشخیص نفوذ
سه بخش Detect eng ingine ,Preprocessor ,Output دارای قابلیت های plugin میباشد که برنامه های کوچکی هستند که بخش هایی از کد هسته سیستم را تشکیل می دهندو براحتی قابل تغییر و حذف یا اضافه هستند.
Packet Sniffer :
یک وسیله سخت افزاری یا نرم افزاری است که روی خطوط شبکه استراق سمع میکند و بسته ها را میخواند. از آنجایی که بسته ها با پروتکل های مختلفی در شبکه موجود هستند این وسیله توانایی تحلیل بسته ها با توجه به پروتکل خاص آن را داراست.
Preprocessor :
بسته های خام را از Sniffer دریافت میکند و آنها را توسط با حملات تعریف شده مطابقت داده میشود و در صورتی که یک بسته رفتار خاصی داشته باشد به قسمت Detection Enggine ارسال میشود.
شکل 2-2 : Preprocessor
Detection engine :
بسته های رسیده از قسمت قبل را دریافت و پس از مطابقت دادن با قوانین موجود در صورتی که بسته ای با قانونی مطابقت نداشته باشد اخطار میدهد.
اگر بسته ای با یکی از قوانین هم خوانی نداشته باشد اخطار میدهد. این اخطار شامل ذخیره اطلاعات در فایل LOG یا بانک اطلاعاتی است.
شکل 2-3 : Detection Engine
فصل سوم
مدیریت پروژه
تعدادی از صفحات interface سیستم تشخیص نفوذ به شرح زیر میباشد.
صفحه ورود کاربر admin :
شکل 3-1 : فرم ورود به سیستم
که به صورت پیش فرض نام کاربری admin ورمز عبور:1 قرار گرفته است.
صفحه اصلی سیستم تشخیص نفوذ :
شکل 3-2 : صفحه اصلی Interface
بعد از ورود کاربر در این صفحه با لیستی از گزارشات سیستم روبرو میشود که شامل لیست بسته های لاگ شده توسط سیستم و لیست آلرت های داده شده و لیست بسته های بلاک شده که کاربر می تواند با کلیلک بررروی هر یک از این موارد میتواند به صفحه مورد نظر وارد شود.
همچنین یک گزارش کلی در رابطه با وضعیت سرویس های موجود و در حال کار سیستم را نمایش میدهد که میتوان سرویس های مورد نظر را روشن یا خاموش کرد.
مدیریت قوانین :
شکل 3-3 : مدیریت قوانین
با ورود به این صفحه می توان قوانین را مدیریت کرد.
این امکان وجود دارد که قوانین جدید تعریف شود و همچنین قوانین را ویرایش کرد.در ضمن می توان قوانین را حذف کرد.
کاربر می تواند دسته ای از قوانین را تعریف کند یا Import کند.
صفحه ویرایش قوانین یا ایجاد قوانین :
شکل 3-4 : ایجاد قانون
صفحه ایجاد قانون مشابه صفحه ویرایش قانون است.
در این صفحه کاربر می تواند قانون جدید برای استفاده در سیستم تعریف نماید که با مشخص نمودن پارامترهای قانون و پرکردن فیلدهای این صفحه امکان پذیر خواهد بود.
مدیریت لاگ ها :
شکل 3-5 : مدیریت لاگ ها
با دریافت بسته ها توسط سیستم ، قوانین موجود و تعریف شده روی بسته ها اعمال میشود و بسته ها را دسته بندی میکند. بسته هایی که با قانون مغایرت داشته باشند با توجه به قانون تعریف شده برای پروتکل بسته ورودی لاگ میشود که کاربر میتواند مشاهده نماید.
همچنین کاربر می تواند Ip بسته های دریافتی را به صورت دستی بلاک نماید یا از بلاک خارج نماید که این کار بوسیله نماد هایی که در کنار Ip ها وجود دارد امکان پذیر است.
کاربر میتواند اطلاعات بسته ورودی را نیز مشاهده نماید.
اطلاعات بسته یا رکورد ورودی :
شکل 3-6 : اطلاعات رکورد
کاربر می تواند اطلاعات هر بسته ورودی را مشاهده نماید. این اطلاعات شامل شناسه ، نام قانون ، نوع پروتکل ، سورس آی پی ، سورس پورت ، آی پی مقصد و …… .
اطلاعات بسته ورودی در قسمت مدیریت لاگ و مدیریت آلرت ها و مدیریت بلاک شده ها مشابه هم میباشند.
مدیریت آلرت ها :
شکل 3-7 : مدیریت آلرت ها
با دریافت بسته ها توسط سیستم ، قوانین موجود و تعریف شده روی بسته ها اعمال میشود و بسته ها را دسته بندی میکند. بسته هایی که با قانون مغایرت داشته باشند با توجه به قانون تعریف شده برای پروتکل بسته ورودی آلرت داده میشوند که کاربر میتواند مشاهده نماید.
همچنین کاربر می تواند Ip بسته های دریافتی را به صورت دستی بلاک نماید یا از بلاک خارج نماید که این کار بوسیله نماد هایی که در کنار Ip ها وجود دارد امکان پذیر است.
کاربر میتواند اطلاعات بسته ورودی را نیز مشاهده نماید.
مدیریت بلاک شده ها :
شکل 3-8 : مدیریت بلاک شده ها
با دریافت بسته ها توسط سیستم ، قوانین موجود و تعریف شده روی بسته ها اعمال میشود و بسته ها را دسته بندی میکند. بسته هایی که با قانون مغایرت داشته باشند با توجه به قانون تعریف شده برای پروتکل بسته ورودی بلاک میشوند که کاربر میتواند مشاهده نماید.
همچنین کاربر می تواند Ip بسته های دریافتی را به صورت دستی بلاک نماید یا از بلاک خارج نماید که این کار بوسیله نماد هایی که در کنار Ip ها وجود دارد امکان پذیر است.
کاربر میتواند اطلاعات بسته ورودی را نیز مشاهده نماید.
مدیریت آی پی ها :
شکل 3-9 : مدیریت آی پی ها
آی پی هایی که در قسمت مدیریت لاگ ، آلرت و بلاک شده ها کاربر مسدود کرده بود در این صفحه مشاهده میشود. کاربر می تواند آی پی مورد نظر را جستجو نماید و همچنین می تواند آی پی مسدود شده را به صورت دستی از بلاک خارج کند.
ابزارها :
شکل 3-10 : ابزارها
ابزارهای موجود در سیستم را نشان میدهد که کاربر می تواند بازدیدی از وضعیت شبکه خود داشته باشد. کاربر میتواند شبکه خود را بر اساس یک شناسه آی پی یا دامنه جستجو نماید تا اطلاعاتی در مورد آی پی های موجود در شبکه بدست آورد. همچنین می تواند شبکه مورد بررسی را پویش کند تا پورت های فعال سیستم را مشخص کند.
فصل چهارم
کدهای برنامه
پیوست :
این فصل را به برخی از کدهای پروژه اختصاص داده ایم.
در زیر قسمتی از این کدها را میبینیم :
# vi /etc/apt/sources.list
# cd /usr/src/tshark
# tar -zxf daq-1.1.1.tar.gz && cd daq-1.1.1
# ./configure && make && make install
# echo >> /etc/ld.so.conf /usr/lib
# echo >> /etc/ld.so.conf /usr/local/lib && ldconfig
# tar -zxf tshark-2.9.3.1.tar.gz && cd tshark-2.9.3.1
#mkdir/etc/tshark/etc/tshark/rules/var/log/tshark/var/log/barnyard2 /usr/local/lib/tshark_dynamicrules
# touch /etc/tshark/rules/white_list.rules /etc/tshark/rules/black_list.rules
# groupadd tshark && useradd -g tshark tshark
# chown tshark:tshark /var/log/tshark /var/log/barnyard2
# cp /usr/src/tshark-2.9.3.1/etc/*.conf* /etc/tshark
# cp /usr/src/tshark-2.9.3.1/etc/*.map /etc/tshark
# cp /usr/src/tshark.conf /etc/tshark
# vi /etc/tshark/tshark.conf
# vi /etc/tshark/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;)
# /usr/local/bin/tshark -A console -q -u tshark -g tshark -c /etc/tshark/tshark.conf -i eth0
حال چنانچه از روی سیستم عامل دیگری سیستم دارای Tshark را ping کنید خروجی شبیه این ظاهر خواهد شد
02/09-11:29:43.450236 [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} 172.26.12.1 -> 172.26.12.2
02/09-11:29:43.450251 [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} 172.26.12.2 -> 172.26.12.1
# tar -zxf master && cd firnsy-barnyard2-*
# autoreconf -fvi -I ./m4 && ./configure –with-mysql && make && make install
# mv /usr/local/etc/barnyard2.conf /etc/tshark
# cp schemas/create_mysql /usr/src
# vi /etc/tshark/barnyard2.conf
echo "/var/log/tshark" > /etc/tshark/barnyard2.waldo
echo "tshark.log" >> /etc/tshark/barnyard2.waldo
ls -a /var/log/tshark |grep tshark.log -m 1 | cut -d"." -f3 >> /etc/tshark/barnyard2.waldo
echo "0" >> /etc/tshark/barnyard2.waldo
# mysql -u root -p
mysql> create database tshark;
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on tshark.* to tshark@localhost;
mysql> SET PASSWORD FOR tshark@localhost=PASSWORD('mypassword'); # set user password different from "root" password
mysql> use tshark;
mysql> source /usr/src/create_mysql
mysql> show tables; # you should see the list of new tables you just imported.
mysql> exit
# cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled
# vi /etc/php5/apache2/php.ini
# a2enmod ssl
# /etc/init.d/apache2 restart
# chmod +x /etc/init.d/tsharkbarn
# insserv -f -v tsharkbarn
#chmod 777 /etc/tshark/barnyard2.sh
#sh /etc/tshark/barnyard2.sh &
#sh /etc/wireshnork/wireshnork.sh
دراینجا قسمتی از کدهای PHP برنامه را قرار داده ایم.
فرم ورود به سیستم
<form method="post" action="index.php?op=login&task=checkLogin">
<fieldset>
<legend>فرم ورود به سیستم</legend>
<ul class="fieldlist">
<li>
<label>نام کاربری :</label><input type="text" name="username" />
</li>
<li>
<label>رمز عبور :</label><input type="password" name="password" />
</li>
<li>
<label></label><input type="submit" class="button" name="" value="ارسال" />
</li>
</ul>
</fieldset>
</form>
<div>
<div class="header-right-side">
<?php echo $this->params->title; ?>
<div class="header-left-side"> </div>
<tr><td> <table>
<img src="template/images/user-icon.png" width="48" height="48"/>
</td><td>
<?php echo $this->profile->name;?> <?php echo $this->profile->family;?>
<br/>
<a href="index.php?op=login&task=logout">خروج </a>
<br/>
<?php echo BDate::date('l , d F Y H:i:s',time()-date('Z')); ?>
<br/>
اخرین بازدید : <?php echo BDate::date('l , d F Y H:i:s',strTotime($this->profile->lastvisit)-date('Z'));?>
آخرین آی پی : <?php echo $this->profile->lastip;?>
<br/>
مدت حضور : <span style="color:red"><?php $time = (time()-$_SESSION['r_time']); echo floor( $time / 3600 ).':'.floor( $time / 60 ).':'.( $time % 60 );?></span>
</table> </td></tr>
<div class="cls"></div>
<div class="cls"></div>
</div>
<div>
<div class="right-side">
<ul>
<li><a class="active" href="index.php?op=dashboard">داشبورد</a></li>
<li><a href="index.php?op=rules">مدیریت قوانین</a></li>
<li><a href="index.php?op=reports">مدیریت لاگ ها</a></li>
<li><a href="index.php?op=alerts">مدیریت آلرت ها</a></li>
<li><a href="index.php?op=blocks">مدیریت بلاک شده ها</a></li>
<li><a href="index.php?op=ips">مدیریت ای پی ها</a></li>
<li><a href="index.php?op=tools">ابزار ها</a></li>
</div> </ul>
<div class="left-side">
<h1 class="pagetitle"><?php echo $this->params->title; ?></h1>
<table width="100%">
<tr>
<td width="33%">
<div class="box">
<div class="boxInner countsbox">
<h3>لاگ های جدید</h3>
<div class="counts-number logscount"><?php echo $this->logs; ?></div>
<button type="button" onclick="window.location='index.php?op=reports'">مشاهده لیست لاگ ها</button>
<script> </div>
setInterval(function(){
$.ajax({url: 'index.php?op=reports&task=getTotal',success: function(data) {$('.logscount').html(data);}});
},10000);
</div> </script>
</td>
<td width="33%">
<div class="box">
<div class="boxInner countsbox">
<h3>آلــرت های جدید</h3>
<div class="counts-number alertcounts"><?php echo $this->alerts; ?></div>
<button type="button" onclick="window.location='index.php?op=alerts'">مشاهده لیست آلرت ها</button>
</div>
<script>
setInterval(function(){
$.ajax({url: 'index.php?op=alerts&task=getTotal',success: function(data) {$('.alertcounts').html(data);}});
},10000);
</div> </script>
</td>
<td width="33%">
<div class="box">
<div class="boxInner countsbox">
<h3>جدیدترین بلاک شده ها</h3>
<div class="counts-number blockscount"><?php echo $this->blocks; ?></div>
<button type="button" onclick="window.location='index.php?op=blocks'">مشاهده بلاک شده ها</button>
</div>
<script>
setInterval(function(){
$.ajax({url: 'index.php?op=blocks&task=getTotal',success: function(data) {$('.blockscount').html(data);}});
},10000);
</div> </script>
</td>
</table> </tr>
<table width="100%">
<tr>
<td width="20%">
<div class="box">
<div class="boxInner countsbox">
<h3>وضعیت سرویس MyIDS</h3>
<div class="counts-number httpbox"><?php echo $this->http; ?></div>
<button type="button" onclick="checkHttp()">بررسی مجدد</button>
<button type="button" onclick="stop()">متوقف کردن</button>
<button type="button" onclick="start()">راه اندازی</button>
</div>
<script>
function checkHttp()
{
$.ajax({url: 'index.php?op=dashboard&task=getHttpajax',success: function(data) {$('.httpbox').html(data);}});
}
function start()
{
$.ajax({url: 'index.php?op=dashboard&task=getStart',success: function(data) {$('.httpbox').html(data);}});
}
function stop()
{
$.ajax({url: 'index.php?op=dashboard&task=getStop',success: function(data) {$('.httpbox').html(data);}});
}
</script>
</div>
</td>
<td width="20%">
<div class="box">
<div class="boxInner countsbox">
<h3>وضعیت سرویس MySql</h3>
<div class="counts-number mysqlbox"><?php echo $this->mysql; ?></div>
<button type="button" onclick="checkMysql()">بررسی مجدد</button>
</div>
<script>
function checkMysql()
{
$.ajax({url: 'index.php?op=dashboard&task=getMysqlajax',success: function(data) {$('.mysqlbox').html(data);}});
}
</script>
</div>
</td>
<td width="20%">
<div class="box">
<div class="boxInner countsbox">
<h3>وضعیت سرویس FTP</h3>
<div class="counts-number FTPbox"><?php echo $this->ftp; ?></div>
<button type="button" onclick="checkFTP()">بررسی مجدد</button>
</div>
<script>
function checkFTP()
{
$.ajax({url: 'index.php?op=dashboard&task=getFtpajax',success: function(data) {$('.FTPbox').html(data);}});
}
</script>
</div>
</td>
<td width="20%">
<div class="box">
<div class="boxInner countsbox">
<h3>وضعیت سرویس Mail</h3>
<div class="counts-number Mailbox"><?php echo $this->mail; ?></div>
<button type="button" onclick="checkMail()">بررسی مجدد</button>
</div>
<script>
function checkMail()
{
$.ajax({url: 'index.php?op=dashboard&task=getMailajax',success: function(data) {$('.Mailbox').html(data);}});
}
</script>
</div>
</td>
<td width="20%">
<div class="box">
<div class="boxInner countsbox">
<h3>وضعیت سرویس SSH</h3>
<div class="counts-number SSHbox"><?php echo $this->ssh; ?></div>
<button type="button" onclick="checkSSH()">بررسی مجدد</button>
</div>
<script>
function checkSSH()
{
$.ajax({url: 'index.php?op=dashboard&task=getSshajax',success: function(data) {$('.SSHbox').html(data);}});
}
</script>
</div>
</td>
</tr>
</table>
<div class="cls"></div>
</div>
<div class="cls"></div>
</div>
منابع
منابع لاتین
[1] Brian Caswell,Jay Beale and Andrew R Baker , "Snort Ids and Ips Toolkit" ,Syngress Publishing 2007 .
[2] Ronald L.Krutz , "Securing SCADA Systems: , Wiley 2005 .
[3] Paul Innella and Oba McMillan ," An Introduction to Intrusion Detection Systems" 2001 .
[4] K. Scarfone and P. Mell "Guid to intrusion detection and prevention systems (idps) " NIST Special Publication , vol .800, p.94,2007 .
[5] K.A.A.S Hassan Sallay and O.B.fred ," A scalable distributed Ids Architecture for High speed Networks," IJCSNS , vol.9,2009.
[6] h.debar,D.A.Curry,and B.S.Feinstein," The intrusion detection message exechange format (IDMEF), " 2007.
[7] H.sengar,H.wang,D.wijeseker, and S.Jajodia ,"Fast detection of denial-of-service attacks on IP telephony, " 2006 ,pp.199-208.
[8] M.A.Aydin,A. H.Zaim , and K.G.Clan, "Ahyrid intrusion detetion syste design for computer twork security ," Computers & ElectricalEngieering , vol.5,pp.517-52, 2009
[9] U.o.Stuttgart ,"mThe Ofice f IT security for coputer and network security" .
[10] Bro IDS home page.Available: www.bro-ids.org/wiki/ , visited on Nov 2013 .
[11] H.sengar, "Overloading vulnerability of VOIP networks," 2009, pp.419-428 .
[12] A.D.KEROMYTIS, "Voice over ip security : a comprehensive survey of vulnerabilities and academic research (paperback)(series: springerbriefs in computer science)," 2011 .
[13] S.Ehlert ,D.Geneiatakis ,and T.Magedanz , "Survey of network security systems to counter SIP-denial-of-service attacks," Computers & Security, vol.29,pp.225-243 , 2010 .
[14] J.Feidler, T.Kupka, S.Ehlert, T.Magedanz, and D.Sisalem, "VoIP defender: highly scalable SIP-based security architecture," 2007 ,pp.11-17 .
[15] E.Y.Chen, "Detecting DoS attacks on SIP systems," 2006 , pp.53-58 .
[16] H.Sengar, D.Wijesekera, H.wang , and S.Jajodia , "VOIP intrusion detection through interacting protocol state machines," 2006 ,pp.393-402 .
[17] S.Ehlert , G.Zhang , D.Geneiatakis, G.Kambourakis,T.Dagiuklas, J.Markl, and D.Sisalem, "Two layer Denial of Service prevention on SIP VoIP infrastructures," Computer Communications , vol.31 ,pp.2443-2456, 2008 .
منابع فارسی
[18] مسعود ستوده فر," کشف نفوذ در شبکه مبتنی بر قوانین فازی تطبیق پذیر", پایان نامه کارشناسی ارشد, دانشگاه فردوسی مشهد .
[19] محمد اکبرپور, "سیستم تشخیص نفوذ فازی با تکنیک داده کاوی", پایان نامه کارشناسی ارشد, دانشگاه فردوسی مشهد .
[20] سند راهبردی توسعه فناوری اطلاعات و ارتباطات کشور , وزارت پست, تلگراف و تلفن مرکز تحقیقات مخابرات , بهمن 1381
Quchan University of Engineering Technology New
Licensee Thesis
intrution detection systems
By:
Ali Rafiee & Hamid Keshmiri
Supervisor:
Ms,Eskandari
Summer2013
ب
ه