1- حملات انجام شده توسط کاربر مورد اعتماد (داخلي): اين حمله يکي از

مهمترين و خطرناکترين نوع حملات است، چون از يک طرف کاربر به منابع

مختلف شبکه دسترسي دارد و از طرف ديگر سياستهاي امنيتي معمولا

محدوديتهاي کافي درباره اين کاربران اعمال نمي کنند.

2- حملات انجام شده توسط افراد غير معتمد (خارجي): اين معمولترين نوع حمله

است که يک کاربر خارجي که مورد اعتماد نيست شبکه را مورد حمله قرار

مي دهد. اين افراد معمولا سخت ترين راه را پيش رو دارند زيرا بيشتر سياستهاي

امنيتي درباره اين افراد تنظيم شده اند.

3- حملات انجام شده توسط هکرهاي بي تجربه : بسياري از ابزارهاي حمله و

نفوذ بر روي اينترنت وجود دارند. در واقع بسياري از افراد مي توانند بدون

تجربه خاصي و تنها با استفاده از ابزارهاي آماده براي شبکه ايجاد مشکل کنند.

4- حملات انجام شده توسط کاربران مجرب : هکرهاي با تجربه و حرفه اي در

نوشتن انواع کدهاي خطرناک متبحرند. آنها از شبکه و پروتکلهاي آن و همچنين

از انواع سيستم هاي عمل آگاهي کامل دارند. معمولا اين افراد ابزارهايي توليد

مي کنند که توسط گروه اول به کار گرفته مي شوند. آنها معمولا پيش از هر

حمله، آگاهي کافي درباره قرباني خود کسب مي کنند.

پردازه تشخيص نفوذ که با انواع حملات آشنا شديم.  بايد چگونگي

شناسايي حملات و جلوگيري از آنها را بشناسيم.

امروزه دو روش اصلي براي تشخيص نفوذ به شبکه ها مورد استفاده قرار مي گيرد:

1 -مبتني بر خلاف قاعده آماري IDS

2 -مبتني بر امضا يا تطبيق الگو IDS

روش اول مبتني بر تعيين آستانه انواع فعاليتها بر روي شبکه است، مثلا چند بار

يک اجرا مي شود.لذا (host) دستور مشخص توسط يک کاربر در يک تماس با

يک ميزبان در صورت بروز يک نفوذ امکان تشخيص آن به علت خلاف معمول

بودن آن وجود دارد.

اما بسياري از حملات به گونه اي هستند که نمي توان براحتي و با کمک اين

روش آنها را تشخيص داد.

IDS ، در واقع روشي که در بيشتر سيستمهاي موفق تشخيص نفوذ به کار گرفته

مي شود ،مبتني بر امضا يا تطبيق الگو است.منظور از امضا مجموعه قواعدي

است که يک حمله در حال انجام را تشخيص مي دهد. دستگاهي که قرار است

نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود.هر امضا داراي

اطلاعاتي است که نشان مي دهد در داده هاي در حال عبور بايد به دنبال چه

فعاليتهايي گشت. هرگاه ترافيک در حال عبور با الگوي موجود در امضا تطبيق

کند، پيغام اخطار توليد مي شود و مدير شبکه را از وقوع علاوه بر آگاه کردن

مدير شبکه، اتصال IDS يک نفوذ آگاه مي کند. در بسياري از موارد

با هکر را بازآغازي مي کند و يا با کمک يک فايروال و انجام عمليات کنترل

دسترسي با نفوذ بيشتر مقابله مي کند.

اما بهترين روش براي تشخيص نفوذ، استفاده از ترکيبي از دو روش فوق است.

 

مقايسه تشخيص نفوذ و پيش گيري از نفوذ

Intrusion Prevention

اين است که تمام حملات (Intrusion Prevention) ايده پيش گيري از نفوذ

عليه هر بخش از محيط محافظت شده توسط روش هاي به کار گرفته شده ناکام بماند.

اين روش ها مي توانند تمام بسته هاي شبکه را بگيرند و نيت آنها را مشخص

کنند  آيا هرکدام يک حمله هستند يا يک استفاده قانوني  سپس عمل مناسب را

انجام دهند.

تفاوت شکلي تشخيص با پيش گيري در ظاهر، روش هاي تشخيص نفوذ و پيش

گيري از نفوذ رقيب هستند. به هرحال، آنها ليست بلند بالايي از عملکردهاي

مشابه، مانند بررسي بسته داده، تحليل با توجه به ارزيابي پروتکل و تطبيق

امضاء دارند. اما اين ،TCP حفظ وضعيت، گردآوري بخش هاي

قابليت ها به عنوان ابزاري براي رسيدن به اهداف متفاوت در اين دو روش به

کار گرفته يا سيستم پيش گيري Intrusion Prevention System) IPS )

مي شوند. يک مانند يک محافظ امنيتي در مدخل يک اجتماع اختصاصي عمل 

می کند که بر پايه بعضي IDS گواهي ها و قوانين يا سياست هاي از پيش تعيين

شده اجازه عبور مي دهد. يک يا سيستم تشخيص مانند يک اتومبيل گشتزنی (Intrusion Detection System)

در ميان اجتماع عمل مي کند که فعاليت ها را به نمايش مي گذارد و دنبال

موقعيت هاي غيرعادي مي گردد. بدون توجه به قدرت امنيت در مدخل،

گشتزن ها به کار خود در سيستم ادامه مي دهند و بررسي هاي خود را انجام مي

دهند.