اجزای یک سیستم تشخیص نفوذ

در یک سیستم تشخیص نفوذ چهار مؤلفه مشخص و قابل تفکیک وجود دارد:

حسگرها در واقع ابزار جمع‌آوری اطلاعات از محیط برای سیستم تشخیص نفوذ هستند. حسگرها ترافیک شبکه یا رخدادهای مختلف موجود در سیستم را بررسی و از آنها اطلاعات خام ورودی خود را تهیه می‌کنند و آنها را به فرم قابل‌استفاده «آشکارسازها»[2] در اختیار آنها قرار می‌دهند.

  • آشکارساز:

آشکارسازها قسمت اصلی یک سیستم تشخیص نفوذ هستند، این بخش اطلاعات دریافتی از حسگرها را پردازش و تحلیل کرده و حمله بودن یا غیرعادی بودن ورودی خود را با توجه به الگوی حملات با نمایه رفتار غیرعادی سیستم بررسی می‌کند. بعد از تحلیل و پردازش داده‌های ورودی آشکارساز کشفیات خود را به همراه دلایل آنها در فرم گزارشی به آشکارسازهای سطح بالاتر یا پاسخ گرها یا واحد کنترل تحویل می‌دهد.

  • پاسخگر[3]:

پاسخگر گزارش رفتارهای مشکوک را از آشکارسازها دریافت کرده و سپس در مورد اتخاذ برخورد مناسب با این رفتار تصمیم می‌گیرد. از جمله تصمیماتی که ممکن است پاسخگو اتخاذ کند می‌توان به اعمال تغییرات لازم در پیکربندی، بستن بعضی درگاه‌های ارتباطی و حذف سرویس کاربر خاطی اشاره کرد.

 

 

 

 

 

 

DATABASE
CONFLIGURATION
DETECTOR
COUNIERMEASURE
SYSTEM
SENSORE
CONTROL
ALARMS

 

AUDITS
ACTIONS

 

 

 

 

 

 

 

 

شکل 1: مؤلفه‌های یک سیستم تشخیص نفوذ

  • واحد کنترل:

نقش این بخش در کنترل، هماهنگی و پیکربندی مؤلفه‌های دیگر است. این واحد در کاهش و حذف پیچیدگی‌های تنظیم دستی پیکربندی نقش مثبتی دارد. این مطلب به ویژه در سیستم‌ها توزیع‌شده دارای اهمیت قابل‌توجهی است، زیرا انجام دستی تغییرات پیکربندی و توسعه یک سیستم توزیع‌شده که معمولا در شبکه‌های بزرگی عمل می‌کند، کار دشواری است. علاوه بر این واحدهای کنترلی باعث می‌شوند، مدیر دیدی یکپارچه از سیستم داشته باشد و بتواند عیب‌های شبکه را بهتر تشخیص دهد (بحرینی، 1385: 12-14)

[1] -Sensor/Probe

[2] -Detector/Monitor

[3]-Resolver