تقسیم بندی سیستم های تشخیص نفوذ مبتنی بر شبکه و مقایسه روش ها

به منظور شناسایی و پیش گیری از تهدیدهای مختلفی که در شبکه های کامپیوتری وجود دارد، سیستم ها و تکنیک های امنیتی متنوعی طی دهه های گذشته مورد بررسی قرار گرفته که شامل سیستم های مختلف رمزنگاری، تشخیص نفوذ و ناهنجاری و دیواره آتش می شوند. در این بین، تشخیص نفوذ در شبکه به عنوان کارآمدترین روش برای دفاع در مقابل رفتار دینامیکی و پیژیده در نظر گرفته می شود و ما قصد داریم در این مقاله مروری، سیستم های تشخیص نفوذ را با تقسیم بندی از سه دیدگاه مدل تشخیص، معماری و بستر بکارگیری، مورد بررسی و تحلیل قرار داده و مزایا و معایب هریک را توصیف کنیم. در این راستا، سه مفهوم را معرفی می کنیم که به واسطه آن ها تعدادی از بسته های شبکه قبل ازاینکه به سیستم تشخیص نفوذ اصلی تحویل داده شوند، مورد پالایش قرار می گیرند. در واقع این سیستم ها حملات را به واسطه مقایسه بدنه بسته های ورودی با مجموعه ای از امضاهای از پیش تعریف شده، تشخیص می دهند و هشدار در انها زمانی صادر می شود که یک تطبیق دقیق بین بسته ورودی با یکی از امضاهای پایگاه داده رخ دهد. روش هایی که برای پالایش بسته ارائه شده اند. دارای قابلیت آگاهی از ماهیت بیشتر بسته های ورودی به شبکه با صرف هزینه کمتری هستند. به همین دلیل قادر به ایجاد بهبود در عملکرد سیستم تشخیص نفوذ می شوند. در رویکرد اول از یک روش پالایش مبتنی بر لیست سیاه از آدرس های IP استفاده می شود. روش دوم از یک الگوریتم تطبیق انحصالری بهره می برد که نوع خاصی از عدم تطبیق ها را با هزینه کم شناسایی می کد. در روش سوم نیز، این دو مفهوم برای تولید یک روش فیلتر کارآمدتر با یکدیگر ترکیب می شوند و روش EFM را به وجئود می آورند. در نهایت، زمان صرفه جویی شده توسط این روش ها را روی مجموعه DARPA ۱۹۹۹ طی جداول مختلفی نشان داده ایم با تامل در مقادیر جداول مذکور، مشخص می شود روش EFM که برای تولید یک روش فیلتر کارآمد از ترکیب روش های پالایش مبتنی بر لیست سیاه از آدرس های IP و الگوریتم تطبیق انحصاری ساخته شده است، عملکرد بهتری داشته و صرفه جویی زمانی بیشتری از خود نشان می دهد.