وب سایت شخصی جعفر قنبری شوهانی

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش پنجم: متدهای بررسی ترافیک

متدهای انالیز ترافیک :

  • Stateful Content Matching : در این حالت کل ترافیک مربوط به یک Session مورد بازرسی قرار می گیرد ، IPS در اینجا تمام بسته های مربوط به یک Session را در حافظه خود Reassemble می کند که باعث می شود روش هایی که کدهای مخرب خود را روی مجموعه ای از بسته ها پخش می کنند شناسایی شود.
  • Protocol Decoding : در این حالت IPS استاندارد پروتکل را می شناسد و ترافیک هر پروتکل را با این استاندارد بررسی می کند تا در صورت آلوده بودن انرا شناسایی کند به طور مثال اندازه URL در پروتکل Http نباید از استاندارد بزرگتر باشد و یا از String های غیر مجاز در بسته استفاده نشده باشد.
  • Traffic Correlation : روش هایی مانند ping کردن و اسکن کردن پورت ها جهت شناسایی دستگاه و پورت های باز در شبکه

IPS در این حالت با جمع کردن و بررسی این ترافیک ها که به مقصدهای مختلف است از این حمله مطلع می شود و از ان جلوگیری می کند.
نکته: معمولا Wormها برای انتشار خود از این روش استفاده می کنند.

  • Rate Analysis : در این روش Rate یا نرخ ترافیک ارسالی به یک مقصد خاص یا سرویس خاص مورد ارزیابی قرار می گیرد و اگر از یک میزان مشخص فراتر رفت احتمال وقوع یک حمله وجود دارد به طور مثال تعداد pingها یا connectionها در یک ثانیه نباید از یک حد مشخص بیشتر شود.
  • Packet Header Matching : در این روش Header بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Packet Content Matching : در این روش دیتا بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Statistical Modeling : در این روش ترافیک به صورت آماری مورد بررسی قرار می گیرد به طور مثال ترافیک مربوط به وب ، ایمیل یا FTP چقدر است یا ترافیک به یک آدرس خاص یا ترافیک از یک آدرس خاص چقدر است و با بدست آوردن این آمار از سالم بودن ترافیک اطمینان حاصل می کنیم.
  • Event Correlation : در این روش با استفاده از جمع کردن و بررسی چندین Event در کنار هم و با مقایسه انها با Signatureخود به یک Event جدید می رسد و متوجه یک حمله می شود.

نکته : روش های Stateful Content Matching و Protocol Decoding و Event Correlation و Packet Header Matching و Packet Content Matching جزء دسته Signature Base هستند.
نکته : روش های Statistical Modeling و Traffic Correlation و Rate Analysis جزء دسته Anomaly Base هستند.

جعفر قنبری شوهانی

نوشته‌های مرتبط

دیدگاه‌ها

*
*