ورود

View Full Version : حرفه ای: IPS Programinng


hjran abdpor
چهارشنبه 05 بهمن 1390, 11:25 صبح
با سلام به دوستان.
میخاستم برای پروژه پایانی یک IPS نرم افزاری بنویسیم فرقی نمیکنه با چه زبانی احتمالا خانواده سی باشن ، ولی مشکل اینجاست که هیچ اطلاعاتی درباره ی پیاده سازی و نحوه ی عملکرد و .... ندارم!!!!!

هر کسی میتونه کمک کنه یه ندا بده!!!!
manvaputra
چهارشنبه 05 بهمن 1390, 12:05 عصر
بهترین کار اینه که در قدم اول یه مرور ریز روی استاندار زیر داشته باشید:

Guide to Intrusion Detection and Prevention Systems (IDPS) (csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf)
من خودم IDS نوشتم ، ولی همونطور که می دونید یک سری بخشها عمومیه مثل سنسور هایی که داده می گیرین که می تونه سخت افزاری باشه یا نرم افزاری (در مورد کار شما مثلا) ، و یا آنالیزوری که کار تشخیص الگوی نرمال رو از الگوی مشکوک انجام میده. ولی مهم ترین بخش بخش الگوی شماست و در مورد IPS اینکه با هر الگوی مشکوک چطور میشه برخورد کرد.
hjran abdpor
چهارشنبه 05 بهمن 1390, 14:58 عصر
ممنونم دوست عزیز.
من هم تو همین الگو مشکل دارم ، میخام بدونم هوش مصنوعی را باید استفاده کنم ، مثلا برای انالیز بسته ها دائما ترافیک را بررسی کنه و براساس اون الگوهای که براش تعریف کردم (اینجا هم مشکل دارم که این الگوها باید پویا باشن همون عنصر یادگیرنده در هوش مصنوعی که اگه حمله ی صورت گرفت اون حمله را به بانک اطلاعاتیی انایز اضافه کنه ، یا به صورت دستی خودم یه بسته ی انالیز بهش بدم که این راه خیلی کنده و کارایی را پایین میاره ، حالا مشکل من اینجاست که این الگو چه جوری بدست میاید ؟) از کجا معلوم میشه یک الگو بسته الگوی خرابیه ؟ یه الگو نرمال چه الگویی است ؟
manvaputra
یک شنبه 09 بهمن 1390, 17:54 عصر
[QUOTE]این الگو بستگی به کار شما ، می تونید از هوش مصنوعی استفاده کنید ولی الزامی نیست یعنی می تونید هم نکنید، بستگی به سیستمی داره که طراحی می کنید. هدفتون رو اگه واضح تر بگید بیشتذ میشه کمک کرد.
hjran abdpor
یک شنبه 09 بهمن 1390, 22:31 عصر
مرسی از جوابتون.
هدف من اینه که یک برنامه یا همون نرم افزار IPS بنویسم که فقط بسته های IP را بگیرد و مقدار Header , Data ان را بخوند و با الگوی که خودم تعریف کنم ( من مشکلم این الگو است که نمیدونم چه جوری تعریف کنم میخام هوشنمد باشه و به صورت دستی وارد نکنم مگه اینکه مجبور بشم) مقایسه کنه و در صورت مشکوک بودن به مدیر اطلاع بده !!!!
حالا نظر شما چی ؟؟؟؟
manvaputra
دوشنبه 10 بهمن 1390, 08:17 صبح
اگه شما فقط می خوای الگوی مخرب رو شناسایی کنی و به مدیر شبکه اطلاع بدی سیستم شما میشه IDS و دیگه IPS به حساب نمیاد، چون در IPS ها سیستم شما علاوه بر شناسای باید عکس العملی هم از خودش در جهت کنترل اون حمله نشون بده. و اما الگو ، هر الگویی احتیاج به یه قانون ثابت داره ، حتی اگه سیستم هوشمند هم باشه باز شما طبق یه سری قوانین باید انو از قبل آموزش بدید که بعدا خودش بتونه تصمیم بگیره. پس قدم اول شناسایی دو چیزه:

1- سیستم ما قرار است چه نوع حمله یا حملاتی را شناسایی کند؟
2- حمله یا حملات موردن نظر چه شاخصه هایی دارند که انها را از داده نرمال مجزا می کند؟

توی این زمینه هر کمکی خواستی می تونی روی من حساب کنی
hjran abdpor
دوشنبه 10 بهمن 1390, 09:19 صبح
مرسی.
برای سوال اول ؟ حملات متداول مثل Dos, DDos , Spoofing , Spooling ,..... ، نظر خودتون را هم بگید که منثلا کدوم حملا بیشتر ممکن باعث اسیب پذیری شبکه بشه ؟؟؟

2- بستگی به نوع حمله هم داره که شاخصه ی برای ان قرار دهیم ، مثلا تو حملات dos فقط هدر بسته ها را زیاد میکنن و نامعلوم وهمین جوری به شبکه تزریق میکنند تا شبکه مختل شه ؟؟؟؟؟

نظر شما در این مورد بالای چی هست ؟؟؟؟؟؟؟؟
به نظر من باید توانایی حداقل شناسایی حملات شبکه را داشته باشه و در صورتی که تونست جلو حمله را بگیره ، بگیره و گرنه به مدیر گزارش بده ، به نظر من IPS جمع جور باشه بهتره !!!!!