4) 4- منبع داده های ممیزی: سیستم های IDS را می توان بر اساس منبع داده های ممیزی به سه دسته تقسیم کرد (بسته به موقعیت داده هایی که باید آنالیز شوند):
· سامانه شناسایی نفود مبتنی بر شبکه (NIDS): سیستم NIDS به صورت منفعل یا فعال از انتقالات شبکه پیروی می کند و بسته هایی که ارسال می شود را ثبت و بررسی می کند. NIDS می تواند کل بسته، بار مفید بسته، آدرس های IP یا پورت ها را تجزیه و تحلیل کند.
· سامانه ی شناسایی نفوذ مبتنی بر هاست یا میزبان (HIDS): سیستم HIDS مربوط به رویدادهای هاست است. آنها می توانند نفوذهای زیر شناسایی کنند اما کارشان محدود به این نیست: تغییرات اعمال شده به فایل های ضروری سیستم در هاست، تلاش های ناموفق پی در پی برای دسترسی به هاست، تخصیص غیرمعمول حافظه پروسه، فعالیت غیرعادی CPU یا فعالیت I/O (ورودی/خروجی). سیستم HIDS این مهارت را با مانیتور کردن زمان واقعی استفاده ی سیستم از هاست یا با بررسی فایل های ورود به سیستم بر روی هاست بدست می آورد.
· سامانای شناسایی نفوذ ترکیبی (هیبریدی): این سامانه به طور موثر از اجزای دو سیستم NIDS و HIDS تشکیل شده و از عوامل متحرک استفاده می کند. عوامل متحرک به هاست ها می روند و بررسی های مربوط به فایل ورود به سیستم را انجام می دهند در حالیکه یک عامل مرکزی برای تشخیص وجود ناهنجاری ها، ترافیک کل سیستم را بررسی می کند.
) Source of the audit data: IDSs can be categorized
into three groups, according to the source of the audit data
(depending on the location of the data to be analyzed):
• Network based Intrusion Detection System (NIDS):
NIDS passively or actively listens to the network transmissions,
captures and examines packets that are being
transmitted. NIDS can analyze an entire packet, payload
within the packet, IP addresses or ports.
• Host based Intrusion Detection System (HIDS): HIDS
is concerned with the events on the host that they are
serving. They are capable of (but not limited to) detecting
the following intrusions: changes to critical system files
on the host, repeated failure access attempts to the
host, unusual process memory allocations, unusual CPU
activity or I/O activity. HIDS achieves this by either
monitoring the real-time system usage of the host or by
examining log files on the host.
• Hybrid Intrusion Detection System: It is composed of
both NIDS and HIDS components in an efficient manner
by the usage of the mobile agents. Mobile agents travel
to each host and perform system log file checks while
a central agent checks the overall network traffic for the
existence of anomalies.
5) موقعیت پردازشی داده های جمع آوری شده: سیستم های IDS بر اساس موقعیت پردازشی داده های جمع آوری شده به چهار دسته تقسیم می شوند:
· IDS متمرکز: یک سیستم پردازش متمرکز، بر همه ی فعالیت های موجود در شبکه نظارت دارد و با آنالیز داده های فعالیت های تحت نظارت شبکه، نفوذها را شناسایی می کند.
· IDS مستقل: یک IDS، هر نود را به طور مستقل اجرا می کند و هر تصمیم، مبتنی بر اطلاعات جمع آوری شده در نود مربوطه است. اعضای شبکه از نفوذهایی که اطرافشان اتفاق می افتد آگاه نیستند زیرا سیستم IDS مستقل به نودهای فردی اجازه نمی دهد اطلاعات را با یکدیگر به اشتراک بگذارند. فعالیت آنها به گونه ایست که به نظر می رسد تنها هستند.
· IDS توزیع شده و همکار (cooperative): این سیستم برای زیرساخت های مسطح شبکه ارائه شده است. هر نود، یک عامل IDS را که در تشخیص نفوذ و پاسخ به کل شبکه شرکت دارد کنترل می کند (این عامل در عملیات و تصمیمات مربوط به شناسایی نفوذ همکاری می کند). اگر یک نود، نفوذی را با شواهد ضعیف و غیرقطعی شناسایی کند آنگاه می تواند از یک روش شناسایی جهانی همکار (cooperative) استفاده کند. اگر یک نود، نفوذی را بطور موضعی با شواد کافی شناسایی کند آنگاه می تواند به طور مستقل، حمله را به شبکه هشدار دهد.
· IDS سلسله مراتبی: این سیستم برای زیرساخت های چند لایه یا خوشه ای شبکه ارائه شده است. سرخوشه ها (CH)، مسئول گره های عضو خود و نیز شرکت در تصمیمات مربوط به شناسایی جهانی نفوذ هستند.
· IDS مبتنی بر عامل متحرک: هر عامل متحرک برای انجام وظیفه ای خاص در یک گره انتخابی معین شده است و شناسایی نفوذ با همکاری این گره های انتخابی صورت می گیرد. پس از یک مدت زمان مشخص یا بعد از اینکه وظیفه ی خاصی صورت پذیرفت، ممکن است عوامل متحرک برای افزایش طول عمر شبکه یا کارایی IDS به گره های از پیش تعیین شده ی دیگر نقل مکان کنند. مشخصات عوامل متحرک در زیر آمده است:
- تحرک: عوامل متحرک کد را به داده ها می دهند تا برای اجرای ناهمگام (asynchronous execution) بر روی یک هاستِ راه دور پردازش شوند. این امر به کاهش مقدار داده های رد و بدل شده کمک شایانی می کند.
- استقلال: عوامل متحرک از اساسِ تولیدشان مأموریتی دارند: آنها باید بتوانند وظایفشان را بدون هیچگونه کمک خارجی به انجام برسانند.
- سازگاری: عوامل متحرک باید رفتارشان را مطابق با اطلاعاتی که هنگام انجام وظایفشان جمع آوری می کنند سازگار کنند.
5) Computing location of the collected data: IDSs are divided
into four categories according to the computing location
of the collected data:
• Centralized IDS: A centralized computer monitors all
the activities in the network and detects intrusions by
analyzing the monitored network activity data.
• Stand-alone IDS: An IDS runs on each node independently
nd every decision is based on the information
collected at its own node. Members of the network
are not aware of the intrusions happening around them
because stand-alone IDS do not allow individual nodes to
cooperate or share information among each other. They
work as if they are alone.
• Distributed and Cooperative IDS: This is proposed for
flat network infrastructures. Each node runs an IDS
agent which participates (cooperatively participating in
the global intrusion detection decisions and actions) in the
intrusion detection and response of the overall network.
If a node detects an intrusion with weak or inconclusive
evidence, then it can initiate a cooperative global intrusion
detection procedure. If a node detects an intrusion
locally with sufficient evidence, then it can independently
alert the network regarding an attack.
• Hierarchical IDS: This is proposed for multi-layer (clustering)
network infrastructures. Cluster heads (CHs) are
responsible for monitoring their member nodes, as well as
participating in the global intrusion detection decisions.
• Mobile Agent based IDS: Each mobile agent is assigned
to perform a specific task of the IDS on a selected node;
and the intrusion detection is performed by the cooperative
of these selected nodes. After a certain time
period or after a specific task is done, agents may relocate
to other pre-defined nodes in order to increase network
lifetime and/or efficiency of the IDS. Specifications of
mobile agents are provided as follows:
– Mobility: Mobile agents bring the code to the data
(to be processed) on a remote host for asynchronous
execution. This would help to reduce the amount of
the exchanged data significantly.
– Autonomy: Mobile agents are given a mission upon
their creation: they should be capable of achieving
their tasks without any external help.
– Adaptability: Mobile agents should adapt their behaviors
ccording to the information they gather
while performing their tasks.