عملكرد سيستم IDS مبتني بر لايه شبكه:
در اين نوع سيستم كشف مزاحمت  IDS ،تمام بسته هاي IP وارد به شبكه محلي را دريافت ، جمع آوري و پردازش مي كند و پس از تحليل بسته ها ، بسته هاي معمولي و بسته هاي مزاحم متعلق به نفوذگر  را تشخيص
مي دهد.IDS بايد انبوهي از بسته هاي IP و محتويات آنها شامل بسته هاي  TCP,UDP  را مرتب كرده و بروز واقعي يك  حمله را بدهد .
بطور معمول سيستمهاي IDS يك بانك اطلاعاتي از الگوي حملات مختلف در اختياردارندبه اين بانك اطلاعاتي ، بانك ويژگيها امضاي حمله و ATTACK SIGNATURE & FEATURES   گفته مي شود در حقيقت اكثر سيستمهاي IDS تحليلهاي خود را تطابق الگوهاي حمله با ترافيك موجود در شبكه متمركز كرده اند  و هرگاه الگوي ترافيكجاري درشبكه با ويژگي يكي از حملات منطبق باشد يك حمله گزارش خواهد شد .لذا نفوذگر براي فراراز IDS  ، سعي ميكند به روشهاي مختلف مراحل حمله را به گونه اي سازماندهي كند كه IDS  انرا ترافيك معمولي وطبيعي بپندارند .وقتي حمله اي كشف شود ،سيستم IDS با   ارسال E-MAIL   ،سيستم      پي جو ((PAGER يا به صدا در آ‎وردن بوق آژير آنرا به اطلاع مسئول شبكه مي رساند ودرعين حال به تعقيب حمله ادامه مي دهد.
در اين شكل سيستم IDS بر حين نظارت بر ترافيك شبكه،متوجه تلاش براي ارتباط با پورتهاي 83و 23  شده است .اين سيستم تلاش براي برقراري ارتباط TCP  با پورت 80 را عادي تلقي مي كندولي تلاشهاي متوالي براي برقراري ارتباط با پورت 23( مربوط TELNET    ) رااصلا طبيعي نمي دانندوآنرا به عنوان علائم يك حمه گزارش مي كند .يامثلا سيستم IDS  با تحليل جريان بسته هاي IP  متوجه مي شود چند هزار بسته SYNبا فيلد SOURCE IP  يكسان وباشماره هاي مختلف پورت به شبكه ارسال شده است؛  اين مسئله قطعا علامت بروز يك حمله است.
حال بايد ديدنوذ گر به چه نحوي تلاش مي كند از IDS  مبتني بر لايه شبكه فراركند. نفوذگر از مكانيزمهاي زير براي فرار IDS ((IDSEVASION بهره مي گيرد:
1-ترافيك ارسالي به شبكه هدف بگونه اي تنظيم مي شودكه با الگوي هيچ حملهاي تطابق نداشته باشد .در چنين حالتي ممكن است نفوذگر از برنامه نويسي استفاده كند چرا كه ابزارهاي موجود الگوي حمله شناخته شده اي دارند.

2-بسته هاي ارسالي به يك شبكه بگونه اي مي شوند كه عملكرد دقيق آن فقط در ماشين نهائي (HOST  ) مشخص شود.
 

 براي روشن شدن نكات ابهام در روشهاي فوق به چندمثال عملي خواهيم پرداخت:
 
با توجه به اينكه يك بسته IP مي تواند بصورت يك سلسله از قطعات كوچكتر كوچكتر شكيته شود .هر بسته شكسته شده سرايند بسته IP را به همرا دارد . قطعات مختلف از طريق شبكه ارسال شده و نهايتا در ماشين مقصد بازسازي خواهند .وقتي سيستم IDS با بسته هاي قطعه قطعه شده IP مواجه شد بايد همانند ماشين نهايي آنها را دريافت و بازسازي كند .نفوذگر مي تواند بسته هاي IP را در قطعات بسيار كوچك شكسته و آنها را ارسال كند .در ضمن براي فلج كردن IDS ،بسته هاي IP بسيار زيادي در لابلاي  بسته هاي حمله ارسال كند.IDS بايد بافر زيادي داشته باشد تا بتواند ضمن بازسازي قطعات شكسته شده ،درون آنها به جستجو الگوي حمله بپردازد. تا تابستان سال 2000 تقريبا هيچ سيستم IDS وجود نداشت كه قادر به بازسازي قطعات بسته هاي IP باشد لذا هر نفوذگري با قطعه قطعه كردن بسته ها ي IP از سيستم IDS قرار مي كرد.
 
 

چه كسى روى شبكه شماست؟

D. F. Tweney CIO نويسنده:
 
دانشگاه ايالتي آركانزاس براي مشكلي تقاضاي ياري مي‌كند. دانشگاه در نيمه كار ارتقا شبكه اصلي خود با ظرفيت چند گيگابيت جهت ارائه خدمات شبكه‌اي به هر اتاق خوابگاه و دفتر دانشكده مي‌باشد. از نظر G rey Williamson مسئول روابط سرويسهاي اطلاع‌رساني و تكنولوژي دانشگاه A rk در J onesboro ساختن چنين شبكه‌اي مثل يك زمين‌بازي فريبنده براي هر هكر خواهد بود كه تبديل به جولانگاهي براي آنها خواهد شد.
شبكه IDS – سيستم آشكاركننده متجاوز - (Intrusion Detection System) شركت Cisco Systems مشكل Williamson را حل خواهد كرد. زمانيكه شبكه با ويروسي مواجه مي‌شود و يا مورد حمله يك هكر قرار مي‌گيرد، IDS مديريت مركزي را از آن مطلع مي‌سازد. اگر عمليات خراب‌سازي خيلي جدي باشد، سيستم بصورت اتوماتيك كاربران IT را چك كرده و دسترسي كسي را كه احتمال مي‌دهد از جانب آن، اين مشكلات پدپد آمده باشد قطع مي‌نمايد و حتي توانايي شناسايي اتاقي را كه هكر در خوابگاه از آنجا وارد شبكه شده است را نيز دارد و سپس سيستم امنيتي دانشكده را از اين خرابكاري مطلع مي‌سازد.
IDS   چيست؟
بسياري از سازمانها، شبيه دانشگاه ايالتي آركانزاس به دنبال چنين سيستمهايي مي‌گردند. چرا كه سياستهاي شناسايي و تعيين هويت كاربران و نرم‌افزارهاي ضدويروس براي امنيت شبكه كافي نمي‌باشند.
فعاليت شركتهايي چون Cisco Systems، EnteraSys Networks، Internet Security Systems در اين زمينه نشان از رشد بازار تكنولوژي آشكارسازي متجاوز دارد. شركتهاي جديدي كه در اين زمينه شروع به فعاليت كرده‌‌اند عبارتند از IntruVert، One Secure و Resource Technologies (Resource به تازگي توسط شركت Symantec خريداري شده است) و حتي   I DSهايي از طرف منابع آزاد چون Snort نيز معرفي شده‌اند.
در ساده‌ترين حالت سيستم آشكاركننده متجاوز، وضعيت امنيتي كار كاربران را شناسايي نموده و آن را ثبت مي‌كند. مثلا اگر كسي در حال اسكن كردن پورت‌هاي سرور و يا تلاش براي lo g i n شدن به شبكه با استفاده از اسم رمزي تصادفي باشد، را شناسايي مي‌كند. البته آن جايگزين كليه موارد امنيتي شبكه نمي‌باشد. به گفته S   tuart McClure مدير آموزشي و مشاوره امنيتي Foundstone در كاليفرنيا و Misson Viejo، IDS مشابه يك دوربين ويديويي كه در بانك و يا يك فروشگاه بكار گرفته مي‌شود، مي‌باشد.
چنين دوربين ويديويي جايگزين سيستم امنيتي و يا قفل درها نمي‌باشد، اما اگر كسي كار خلافي انجام دهد و به نحوي از سيستم امنيتي بكار گرفته شده عبور نمايد، دوربين از آن يك ركورد تهيه كرده كه در شناسايي مجرم و يا رفع اشكال سيستم امنيتي بكار رفته مي‌تواند موثر باشد.
سيستمهاي آشكار كننده متجاوز به چند روش كار مي‌كنند. IDS مبتني بر شبكه شامل سنسورهايي مي‌باشد كه پكتها (Packet) را ضمن عبور از شبكه نظارت مي‌كند. بطور نمونه يك IDS مبتني بر شبكه سنسورهايي را در نقاط ورود به شبكه (براي مثال در كنار فايروالها) يا در مرز بين زير شبكه‌ها با سطوح امنيتي مختلف (مثلا بين شبكه LAN و مركز ديتا) قرار مي‌دهد.
IDS مبتني بر ميزبان (Host-based) با شفافيت و وضوح فعاليت بر روي سرورهاي خاص را بررسي مي‌‌كند. ميزبانهاي main frame به دنبال فايلهاي بحراني مي‌گردند و حتي سيستم عاملهاي خاصي را بررسي مي‌كنند (مثلا به دنبال پيامهاي خطاي مشكوك و يا پردازشهاي غيرمتعارف سرور مي‌گردند.)
IDS مبتني بر ميزبان و شبكه (Network & host Based) مشابه اسكنر ويروس به اسكن كردن امضاها پرداخته و به دنبال نشانه‌هايي كه حاكي از انواع حمله‌ها مي‌باشند مي‌گردد. ضعف چنين سيستم‌هايي آن است كه امضاها بايد مرتبا و با توجه به پيشرفت تكنيك‌هايي كه هكرها بكار مي‌برند، به هنگام شوند. براي پيدا كردن اين خرابكاري‌ها، بعضي از سيستم‌هاي آشكار كننده متجاوز به دنبال هرگونه فعاليت شبكه‌اي خارج از حيطه تعريف شده فعاليتهاي مجاز مي‌گردند. اين نوع عملكرد به عنوان آشكارسازي چيزهاي غيرمعمول شناخته شده ملهاي خاصي را بررسي مي شبكه (براي مثال در كنار فايروالها) يا در مرز بين زير شبكه از آن يك ركورد تهيه كرده كه داست.
مشكل تمام سيستمهاي آشكار كننده متجاوز آن است كه Plug & Play نبوده و احتمالا در آينده نيز نخواهند بود. برخلاف فايروالها، اغلب سيستمهاي آشكار كننده متجاوز، براي نصب و راه‌اندازي به افراد متخصص و وارد به كار نياز دارند. مسئله مهمتر سيستم آلارم آنها جهت كنترل و مديريت شبكه مي‌باشد. هر IDS زمانيكه به فعاليت مشكوكي برخورد مي‌كند، هشداري را توليد مي‌نمايد. از آنجائيكه شبكه‌ها يكسان نمي‌باشند. كامپيوترها در بيان اين شبكه‌ها نمي‌توانند به خوبي عمل نمايند. مثلا كامپيوتر نمي‌تواند بين يك فايل ويروسي با عنوان “I Love You” و يك پيام email با همين موضوع تفاوت قائل شود. به عنوان نتيجه مي‌توان گفت كه اغلب سيستمهاي آشكار كننده متجاوز مرتبا پيام هشدار مي‌فرستند و در نتيجه پيامهاي خطاي زيادي، شايد بيش از هزاران پيام خطا در روز و در زمينه‌هاي مختلف توليد مي‌شوند.
Lioyd Hession سرپرست بخش امنيتي Radianz، در شهر نيويورك كه فراهم كننده سرويسهاي شبكه IP براي صنايع مالي است مي‌گويد: "هر فروشنده‌اي براي نمايش كار محصولات خود روشي دارد". به گفته Hession: "مديران موفق IT با توده انبوهي از اضافه بار اطلاعاتي مواجه شده‌اند. هر كدام از اين هشدارها با ارزش مي‌باشند و مسئول امنيتي شبكه مجبور به ارزيابي آن به منظور تعيين اينكه آيا استفاده از آن قانوني و يا يك حمله غيرقانوني مي‌باشد، است.
به علاوه مسئول رسيدگي و كنترل IDS بايد نحوه تشخيص حمله‌هاي واقعي از هشدارهاي خطا را بياموزند و آنها بايد نحوه تنظيم IDS به منظور كاهش هشدارهاي خطا را نيز ياد بگيرند.
Williamson از دانشگاه ايالتي آركانزاس مي‌گويد: "كارمندانش در روز 30 الي 40 پيام خطا را كه توسط IDS شبكه توليد مي‌شد، دريافت مي‌كردند. بعد از اينكه سيستم براي چند ماهي استفاده شد تعداد پيامهاي خطا به 2 الي 3 اشتباه در روز رسيد.
Michael Rusmussen مدير پژوهشي امنيت اطلاعات در Mass Based Giga كمبريج مي‌گويد: "شايد شش ماه طول بكشد تا تمام پيامهاي خطايي را كه IDS توليد مي‌نمايد، برطرف كنيد.

اهداف فروشندگان
فروشندگان IDS بيكار ننشسته‌اند. شركتهاي IDS جديد همچون One Secure و Intruvert به منظور افزايش هوشياري سيستمهايشان از تكنيكهاي آشكار كننده متجاوز بر پايه امضا و حالتهاي غيرعادي با هم استفاده مي‌كنند و حتي زمانيكه حمله‌اي اتفاق مي‌افتد، به جاي اينكه از سيستم ساده هشداردهنده استفاده نمايند آن را مسدود مي‌كنند. ساير فروشندگان مانند ForeScout از آناليزهاي آماري ترافيك عادي شبكه خود براي شناسايي اتوماتيك پاكتهاي غيرعادي كه در واقع يك نوع IDS خود تنظيم مي‌باشد، استفاده مي‌كنند.بعضي ديگر از فروشندگان، مانند T I pping Point Technologies و Source Fire به كمك استفاده از سخت‌افزار به رفع اين مشكل پرداخته‌اند. آنها اقدام به ساخت تجهيزات IDS بهينه شده بسيار سريع كرده‌اند كه مي‌توانند ترافيك شبكه را در سرعتهاي بالاتر از سرورهاي متعارفي كه نرم‌افزار IDS را اجرا مي‌كنند، آناليز نمايند. (اين سيستمها از الگوريتم‌هاي آشكارسازي امضا بسيار پيچيده‌تري استفاده مي‌كنند). در نهايت گردانندگان بازار، چون ISS و سيسكو اميد به ارائه محصولات بهتر يا ارتقا مديريت و هوشياري سنسورهاي شبكه‌شان دارند.
يك عضو فني برجسته در CERT Coordination Center در دانشگاه Carnegie Meelon در Pittsburgh مي‌گويد: "من فكر نمي‌كنم سازمانها خواهان يك ريسك باشند و تنها به داشتن وسايل و ابزار اكتفا نمايند". "هميشه نقص ديدگاه‌هاي انساني و تجزيه و تحليل افراد متخصص در اين پروسه وجود دارد".
Bruce Larson طراح معماري سيستمهاي امنيتي شبكه براي SAIC Clients در چندين سازمان و شركت دولتي – نائب رئيس سيستم و مديرعامل اجرايي شبكه‌هاي اختصاصي براي S  AIC Internatinal مي‌گويد: "آشكارسازي متجاوز واقعا كاري هزينه‌بر مي‌باشد". او برآورد مي‌كند كه شما حداقل به يك مهندس شبكه تمام وقت براي مونيتور كردن و تنظيم IDS با حقوق مكفي نياز داريد.   يك راه چاره
مديريت اطلاعات خروجيهاي IDS به منظور ارائه سرويسهاي مديريت شده مي‌باشد، در اين رابطه شركت Counterpane Internet Security كارمنداني دارد كه تنها آلارم‌هاي IDS را چك كرده و هشدارهاي مهم را به مسئول ITخود مي‌فرستند.

IDS چگونه كار مي‌كند؟
 
طبق اظهارات Jeff Wilson مدير اجرايي Infonetics و Sum Jose مشاور و پژوهشگر بازاريابي، چه با مديريت اطلاعات خروجي و چه بدون آن سيستمهاي آشكاركننده متجاوزگران مي‌باشند، با داشتن تجهيزاتي در حدود 15000 دلار يا كمي بيشتر مي‌توان يك سيستم مناسب داشت ولي يك سيستم بسيار كامل ممكن است در حدود 100000 دلار يا بيشتر درآيد. به علاوه بايد هزينه خدمات و پشتيباني فني و نصب و راه‌اندازي سيستم را هم اضافه كرد. اين يكي از دلايلي است كه هنوز بازار IDS نسبت به فايروالها بسيار كوچك مي‌باشد. دليل ديگر مديريت بسيار مشكل آنها مي‌باشد.
Jeff Wilson در اين زمينه مي‌گويد: "هنوز بازار IDS چندان رونقي ندارد و بايد از اطلاعات مختلفي بهره جست تا پي به ارزش آن بطور كامل برد. از سوي ديگر اگر شما چيز با ارزشي براي حفاظت داشته باشيد، چاره‌اي جز استفاده از IDS نخواهيد داشت. شركتها اغلب به تكنولوژي IDS براي معرفي شبكه خود، به عنوان يك شبكه مطمئن نياز دارند به ويژه در صنايع قانونمند كه تابع مقررات و ضوابط خاصي مي‌باشند. مثل سرويس‌هاي مالي و مراقبتهاي بهداشتي. GERT’S Allen مي‌گويد: "شما مجبور هستيد به كل عرضه و تقاضاي خود نگاه كنيد و ببينيد از چه چيزي مي‌خواهيد حفاظت كنيد، به چه چيزي نياز داريد و چه كار مي‌توانيد با آن انجام دهيد." اما بكارگيري IDS راحت نيست. طبق اظهارات Rasmussen اغلب شركتهايي كه IDS را بكار گرفته‌اند از شروع كار خود مطمئن هستند اما فقط يك چهارم آنها شانس موفقيت دارند و شايد يك دهم واقعا موفق مي‌شوند.
به عبارت ديگر IDS شما يكي از ابزارهاي امنيتي شبكه مي‌باشد. بكارگيري سطوح مختلف امنيتي در يك سيستم بسيار مفيد مي‌باشد كه توسط بسياري از ارگان‌هاي امنيتي توصيه مي‌گردد. Allen پيشنهاد مي‌دهد كه براي يك IT اجرايي از تكنيكهاي امنيتي زير بايد استفاده كرد: "سنسورهاي آشكاركننده متجاوز برپايه شبكه، آشكاركننده، متجاوز برپايه Host، گزارش‌گيري مركزي، كنسول مونيتورينگ براي هشدارهاي IDS و ساير پيام‌هاي شبكه، فايروالها و فايلهاي ثبت وقايع و روشهاي متداول در به رسميت شناختن كاربر.
هدف، پردازش مناسب براساس داده توليد شده توسط IDS به منظور مديريت و كنترل شبكه مي‌باشد. Foundstone’s McClure مي‌گويد: " IDS تنها از ديد مردم عادي كه به آن نگاه مي‌كنند، خوب مي‌باشد". اگر شما قصد مونيتورينگ آن را نداريد مي‌توانيد يك doorstop 50000 دلاري بخريد. Rasmussen توصيه مي‌كند كه پياده‌سازي IDS بايد با پردازش‌هاي واضح براي پاسخ به آلارمها، خط‌مشي‌هاي نگه‌داري شبكه (مثل به هنگام كردن امضا و اصلاحيه‌هاي سيستم عامل) و آموزشهاي پيوسته كارمندان بخش امنيت شبكه همراه باشد.همچنين Rasmussen به شروع با حجم كوچك، با يك يا دو سنسور IDS در نقاط حساس شبكه توصيه مي‌كند. بايد به حدي كوچك باشد كه بتوان آن را كنترل نموده و مهندسين شبكه زمان كافي براي ياد گرفتن سيستم و تنظيم آن بدون مواجه شدن با هزاران آلارم را داشته باشند.Williamson زمان تست IDS در دانشگاه ايالتي آركانزاس را در نيمه بهار زمانيكه ترافيك شبكه پايين مي‌باشد انتخاب كرده است تا مهندسين بتوانند در يك فرصت چند ماهه تا بازگشايي كلاس‌ها در پاييز كاملا كار با سيستم را بياموزند. مي‌توان آن را براي جستجوي تقريبا هر نوع استفاده غيرمجاز از شبكه مثل نرم‌افزار مبادله فايلهاي ممنوعه تنظيم نمود.اگر شما بخواهيد مي‌توانيد تقريبا هر چيزي را ببنديد. در واقع IDS مانند لنز قويي است كه از شبكه مواظبت كرده و مشكلات آن را پيدا مي‌كند.