7) دفعات (فرکانس) استفاده: سیستم های IDS بر اساس دفعات استفاده به دو گروه تقسیم می شوند:
· مستمر (هنگام فعالیت): IDS به طور مداوم و مستمر بر شبکه نظارت می کند.
· دوره ای: IDS در بازه های زمانی مشخص بر شبکه نظارت می کند.
7) Usage frequency: According to the usage frequency,
IDSs are divided into two categories:
• Continuous (on the fly): The IDS monitors the network
continuously.
• Periodical: The IDS monitors the network in certain
periods of time.
پ. تصمیم گیری در IDS
دو نوع مکانیزم تصمیم گیری برای سیستم های IDS وجود دارد:
· تصمیم گیری مشارکتی: همه یا برخی از اعضای شبکه در تصمیم گیری مربوط به یک رویداد مشارکت می کنند. برای مثال درمورد رأی اکثریت، تصمیم گیری نهایی به نفع اکثریت اعضا است که به یکی از این دو نتیجه می رسند: "رویداد مربوطه، یک نفوذ یا تهاجم است" یا "رویداد مربوطه، نفوذ نیست"
· تصمیم گیری مستقل: هر یک از اعضا بر اساس رویدادهای اطرافشان به یک نتیجه ی مستقل می رسند.
C. Decision making in the IDS
There are two types of decision making mechanisms for
IDSs:
This article has been accepted for inclusion in a future issue of this journal. Content is final as presented, with the exception of pagination.
• Collaborative decision making: All (or some) of the
members of the network collaborate in making the decision
regarding an event. For instance, in the case of
majority voting, the final decision is made in favor of the
majority of the members ending up with either of two
decisions: "the event is an intrusion” or "the event is not
an intrusion”
• Independent decision making: Each member concludes a
decision regarding the events surrounding them.
با توجه به مرجع شماره ی [12]، سیستم IDS پس از تصمیم گیری درباره ی یک رویداد به یکی از نتایج چهارگانه ی زیر نائل می شود:
· نفوذی است اما ناهنجار نیست (منفی کاذب): نفوذی به سیستم صورت گرفته اما IDS در شناسایی آن موفق نبوده و آن را به عنوان یک رویداد هنجار (غیر ناهنجار) تلقی کرده.
· نفوذی نیست اما ناهنجار است (مثبت کاذب):هیچ نفوذی به سیستم صورت نگرفته اما IDS اشتباهاً یک رویداد نرمال را به عنوان ناهنجاری تشخیص داده.
· نه نفوذی و نه ناهنجار است (منفی واقعی): هیچ نفوذی به سیستم صورت نگرفته و IDS آن را یک رویداد هنجار (غیرناهنجار) شناخته است.
· هم نفوذی و هم ناهنجار است (مثبت واقعی): نفوذ به سیستم صورت گرفته و IDS این رویداد را به درستی یک ناهنجاری تشخیص داده.
According to [12], an IDS concludes either of four decisions
(with non-zero probabilities) mentioned below as a result of
the decision making process over an event:
• Intrusive but not anomalous (false-negative): There is an
intrusion to the system, but the IDS fails to detect it and
concludes the event as non-anomalous one.
• Not intrusive but anomalous (false-positive): There is no
intrusion to the system, but the IDS mistakenly concludes
a normal event as an anomalous one.
• Not intrusive and not anomalous (true-negative): There
is no intrusion to the system, and the IDS concludes the
event as non-anomalous one.
• Intrusive and anomalous (true-positive): There is an intrusion
to the system, and the IDS concludes the event
as an anomalous one.
شرایط زیر برای سیستم های IDS در شبکه های حسگر بی سیم (WSN)، بر اساس طبیعتِ ارتباطات بی سیم، منجر به وقوع مثبت های کاذب شده و بنابراین بایستی آنها را در مدل تصمیم گیری مد نظر قرار داد [16]:
· برخوردها
· حذف بسته
· قدرت انتقال محدود
· کم شدن قدرت باتری
For IDSs in WSNs, due to the nature of wireless communications,
the following situations would result in false positives
and hence, they need to be considered in the decision making
model [16]:
• collisions
• packet drops
• limited transmission power
• fading battery power
ت. پاسخ نفوذ
وقتی احتمال دارد حمله ای روی دهد، IDS اقدامات پیشگیرانه انجام نمی دهد زیرا نقش پیشگیری بر عهده ی سیستم پیشگیری از نفوذ است (IPS). IDS در مقایسه با شیوه ی فعال IPS، انفعالی عمل می کند. هرگاه IDS نفوذی را هشدار داد، اقدامات زیر با توجه به مشخصات سیستم انجام می شود:
· باید یک سابقه ی ممیزی ایجاد شود.
· باید همه ی اعضای شبکه، مدیر سیستم (اگر موجود باشد) و پایگاه اصلی (اگر وجود داشته باشد) به حملات نفوذی آگاه باشند. درصورت امکان، باید موقعیت و هویت نفوذگر در پیام هشدار مشخص شود.
· باید یک روش کاهش خطر، در صورتی که وجود داشته باشد، برای متوقف ساختن نفوذ به کار رود. مثلاً یک اقدام اصلاحاتی خودکار از طریق مشارکت اعضای شبکه (به ویژه اعضای هم جوار رویداد) ایجاد شود.
D. Intrusion response
When an attack is possible to occur, the IDS does not
take preventive measures, since the prevention part is left
to the Intrusion Prevention System (IPS). The IDS works in
a reactive way compared to the proactive way of the IPS.
Whenever the intrusion alert is generated by the IDS, the
following action(s) would be taken according to the system
specifications:
• An audit record should be generated.
• All the network members, the system administrator (if
he/she exists) and the base station (if it exists) should
be alerted about the intrusion. If possible, location and
identity of the intruder should be provided in the alert
message.
• If it exists, a mitigation method should be induced in
order to stop the intrusion. For example, an automated
corrective action should be generated through a collaborative
action of the network members (especially the
neighboring members to the incident).
ث. آثار مرتبط و مطالعات پیشنهادی
افرادی که علاقه مند به سیستم های IDS هستند می توانند اطلاعات بیشتری را در این زمینه در مقالات زیر پیدا کنند:
· تی اس سبح[13]، طبقه بندی فوق العاده ای را در خصوص سیستم های IDS ارائه داده است.
· انگادی و همکاران [9]، آنانتوالی و وو [14] و آلبرز و همکاران [15]، طبقه بندی سیستم های IDS را برای شبکه های سیار موقت (MANET) ارائه داده اند.
· گراسیا تودور و همکاران [18]، بررسی ای درخصوص تکنیک ها، سیستم ها و چالش های مربوط به NIDS مبتنی بر ناهنجاری انجام داده اند.
· یک بررسی مختصر درباره ی سیستم های IDS که برای شبکه های WSN ارئه شده اند در مرجع [23] آمده و در مقابل، ما در این مقاله بررسی گسترده ای را با جزئیات کامل در مقایسه با متدهای پیشنهادی ارائه کرده ایم.
· بررسی مربوط به سیستم های مشارکتی در مرجع [24] آمده است. یک بررسی اختصاصی تر درباره ی ارتباط هشدار خطر در سیستم های هوشمند مشارکتی IDS، در مرجع [25] آمده است. یک بررسی دیگر درخصوص ارتباط هشدار چندبعدی غیرمتمرکز برای سیتم های مشارکتی IDS در مرجع [26] ارائه شده است.
· بررسی مربوط به IDS در رایانش ابری در مرجع [27] ارائه شده که می تواند برای ایمنی شبکه های نسل بعد مفید باشد.
· گارسیا و همکاران [28]، جزئیاتی درباره ی تشخیص نفوذ پس از واقعه (postmortem) برای سیستم های امنیتی سایبری و جرم شناسی رایانه ای فراهم آورده است. این ها نمایان گر یک روش طبقه بندی برای تجزیه و تحلیل فایل های ورود به سیستم با استفاده از مدل پنهان مارکوف هستند.
· تکنیک های فرار که IDS را تهدید می کنند در بررسی چنگ و همکاران [29] آمده است. آنها جزئیاتی از پنج تکنیک متفاوت (داس یا DoS، تقسیم بسته یا packet splitting، درج مکرر یا duplicate insertion، جهش بار یا payload mutation، جهش پوسته کد یا shell-code mutation) را ارائه می دهند و تأثیر این تکنیک ها را روی سه IDS جدید ارزیابی می کنند.
· لطفاً به خاطر بسپارید که سیستم های IDS که مورد بررسی قرار گرفتند مربوط به اطاعات و ایمنی کامپیوتر هستند و با موضوع "تشخیص نفوذ برای حفاظت محیط "ارتباطی ندارند. افرادی که علاقه مند به موضوعات دیگر هستند به مقالات ارائه شده در مراجع [30] و [31] مراجعه کنند.
· بررسی ما دربردارنده ی روش ها و ایده هایی که برای ایمن سازی سیسیتم های IDS ارائه شده اند نمی باشد. کسانیکه علاقه مند به این موضوع هستند به مقالات شاکشوکی و همکاران در مرجع [32] مراجعه کنند.
E. Related work and suggested readings
Readers, who are interested in the IDSs, can find more
information (general information or specific areas other than
WSNs) in the following papers:
• A very good classification of the IDSs is provided by
Sobh [13].
• Classification of the IDSs for MANETs are provided by
Ngadi et al. [9], Anantvalee and Wu [14], and Albers et
al. [15].
• Garcia-Teodoro et al. [18], provided a survey of techniques,
systems and challenges on the anomaly based
NIDS.
• A brief survey of IDSs that are proposed for WSNs
is provided in [23] and in contrast, our paper provides
an extended survey with in-depth details comparing the
proposed methods.
• A survey of IDSs for collaborative systems is provided
in [24]. A more specific survey on alert correlation
in collaborative intelligent IDSs is presented in [25].
Another work on decentralized multi-dimensional alert
correlation for collaborative IDSs is provided in [26].
• A survey of IDS in cloud computing is provided in
[27], which would be helpful to secure next generation
networks.
• Garcia et al. [28] provides details of postmortem intrusion
detection for cyber security systems and computer
forensics. They show a classifier method for analyzing
log files by using hidden Markov model.
• Evasion techniques that are threatening IDS are presented
in Cheng et al.’s work [29]. They provide details of
5 different techniques (DoS, packet splitting, duplicate
insertion, payload mutation, shell-code mutation) and
assess the effectiveness of these techniques on 3 most
recent IDSs.
• Please note that the IDS that are investigated in this survey
are related to information and computer security; and
they are not related to the topic of "Intrusion detection
for perimeter protection”. Readers who are interested in
the later topic, please refer to the works presented in [30]
and [31].
• Our survey does not include the methodologies and ideas
that are proposed to secure the IDSs. Readers who are
interested in that topic may refer to Shakshuki et al.’s
[32] work.
/224224