يك كارآگاه خصوصي استخدام كنيد - آشنايي ساخت سيستم هاي آشكارساز نفوذ به

[Mr.Amirhessam]

امين صفائي‌
ماهنامه شبکه - بهمن ۱۳۸۴ شماره 62

اشاره :
چه خوب بود اگر تمامي سيستم‌هاي كامپيوتري از امنيت كامل برخوردار بودند. ولي متاسفانه امنيت كامل شبكه‌هاي كامپيوتري محال است و به اين زودي‌ها نمي‌توان انتظار داشت سيستم‌هاي كامپيوتري از امنيت كامل بهره‌مند شوند. زيرا حتي اگر اين سيستم‌ها كاملا امن باشند و ورود هر‌گونه عامل خارجي تهديدكننده امنيت، به اين سيستم‌ها محال باشد، همچنان امكان سوء‌استفاده عوامل داخلي در اين سيستم‌ها وجود دارد. هدف سيستم‌هاي آشكارساز‌‌ Intrusion Detection Systems) IDS) در واقع شناسايي ترافيك‌هاي مشكوك شبكه، هشدار در مورد دسترسي‌هاي غير‌مجاز، و سوء‌استفاده از سيستم‌هاي كامپيوتري است. اين سيستم‌ها را مي‌توان به دزدگير منزل يا اتومبيل تشبيه نمود كه در زمان وقوع رفتارهاي غير‌عادي، صداي آژير را به صدا در مي آورد. در شبكه‌هاي كامپيوتري يا سرورهاي بزرگ، ‌IDS‌ها اطلاعات فرستنده بسته اطلاعاتي به شبكه را جمع‌آوري مي‌كنند، محتواي بسته را تجزيه مي‌نمايند و دنبال نشانه‌هايي از مزاحمت يا سوء‌استفاده در آن مي گردند. دو روش متداول در ساختن اين سيستم‌ها وجود دارد: سيستم‌هاي شناسايي سوءاستفاده‌گر ‌(‌Misuse Detection) و سيستم‌هاي شناسايي رفتارهاي غير‌عادي (Detection Anomaly). در سيستم‌هاي شناسايي سوءاستفاده گر، سيستم از شكل حملات اطلاع دارد و شكل بسته‌هاي ارسالي از منبع ارسال‌كننده را با اين الگو‌ها مقايسه مي‌كند. ولي در سيستم‌هاي شناسايي رفتارهاي غير‌عادي، سيستم از بسته‌هايي كه سورس‌ها ارسال مي‌كنند، اطلاعات آماري تهيه مي‌كند و رفتارهاي غير‌عادي هر سورس را اطلاع مي‌دهد. اين مقاله با معرفي اين سيستم‌ها و انواع آن‌ها طرز كار اين سيستم‌ها را به صورت خلاصه توضيح مي‌دهد و با طرح يك مثال طريقه ساخت يك‌‌ ‌IDS ساده را به شما مي‌آموزد.




‌‌IDSهاي شبكه و انواع آن ‌
سيستم‌ آشكارساز شبكه، ترافيك شبكه را كنترل مي‌كند، فعاليت‌هاي غيرعادي و مشكوك را زيرنظر مي‌گيرد و در صورت مشاهده هر‌گونه مزاحمت يا نشانه مشكوك، مدير شبكه را مطلع مي‌سازند.

در برخي موارد اين سيستم‌ها مي‌توانند با مشاهده رفتارهاي غيرعادي و مشكوك يا نشانه‌هاي حمله از طرف يك‌ آدرس‌IP، آن آدرس را در فهرست سياه قرار دهند و مانع دسترسي آن به شبكه شوند.

امروزه ‌‌IDSهاي مختلفي وجود دارند كه از راه‌هاي گوناگوني ترافيك‌هاي مشكوك را شناسايي مي‌كنند.

NIDS و ‌HIDS
سيستم‌هاي آشكارساز نفوذ به شبكه يا NIDS ها (‌Network Intrusion Detection System) ‌يا در قسمت‌هاي مهم شبكه (مانند كانال‌هاي ارتباطي شبكه با محيط بيرون) قرار مي‌گيرند و ترافيك شبكه را كنترل مي‌كنند. البته از آن جايي كه اين سيستم‌ها كليه ترافيك‌ ورودي و خروجي و تمامي فعاليت‌هاي شبكه را كنترل مي‌كنند، مي‌توانند باعث كندي سرعت شبكه نيز بشوند. با اين حال، وجود اين سيستم‌ها نياز اوليه اكثر شبكه‌هاي پيشرفته است.


از طرف ديگر HIDSها ‌‌‌‌(Host Intrusion Detection System) يا سيستم‌هاي آشكارساز ميزبان، تنها روي يك دستگاه يا سيستم در شبكه نصب مي‌شوند و صرفا ترافيك‌هاي ورودي و خروجي به آن دستگاه را كنترل مي‌كنند و در صورت مشاهده هرمورد مشكوك، مسئله را به مدير سيستم هشدار مي دهند.

شكل 1 و 2 تفاوت اين دو نوع سيستم را نشان مي‌دهد و شكل 3 ساختار سيستم مزاحم ياب شبكه را ارائه مي‌نمايد.

همانطور كه در شكل 3 مي‌بينيد، بسته اطلاعاتي فرد مزاحم از اينترنت و فايروال‌‌ عبور مي‌كند و به ‌‌NIDS مي‌رسد. ‌‌NIDS بسته را كنترل مي‌كند و اگر مشكوك باشد، نشانه‌هاي بسته اطلاعاتي يا پكت را با نشانه‌هاي بسته‌هاي مضر يا رفتارهاي غير‌عادي مقايسه مي‌نمايد.

سپس اگر بسته داراي نشانه‌هاي حمله باشد و مشكوك به‌نظر برسد، به مدير شبكه اطلاع مي‌دهد و در برخي موارد نيز مانع ورود هر گونه بسته‌اي از‌‌ اين ‌‌IP مي گردد.

‌اگر بخواهيم ‌IDSها را طبقه بندي كنيم، مي‌توانيم آن‌ها را در دو گروه اصلي قرار دهيم: IDSهايي كه محتواي پكت ارسالي را كنترل مي‌نمايند و آن را با اطلاعات پايگاه اطلاعاتي شامل صفات و نشانه‌هاي بارز حملات مقايسه مي‌كنند كه اصطلاحا به ‌‌Signature Based معروفند.

(درست شبيه كاري كه ضدويروس‌ها انجام مي‌دهند). البته اين نوع ‌‌IDSها يك مشكل اساسي دارند و آن ناتواني در شناسايي حملات جديد است. اين سيستم‌ها فقط قادر به شناسايي حملاتي هستند كه قبلا براي آن‌ها تعريف شده است.

نوع ديگري از ‌‌IDSها سيستم‌هايي هستند كه قادر به شناسايي عملكرد غير عادي يك ‌‌IP فرستنده بسته هستند. مثلا اگر يك منبع ، دويست بار در دقيقه به پورت 21 دسترسي دارد مشخص است كه قصد هك كردن سيستم را دارد. به اين نوع سيستم‌ها اصطلاحا‌‌ ‌Anomaly Based مي گويند. ‌

IDSها را مي‌توان از نظر نوع واكنش به حملات نيز به دو گروه تقسيم نمود: گروه اول سيستم‌هايي هستند كه فقط حملات را شناسايي مي‌كنند و پيغام مي‌دهند (‌Passive IDS) و گروه ديگر نه تنها حملات را شناسايي مي‌كنند و به مدير سيستم پيغام مي‌دهند، بلكه راه ارتباطي فرستنده مورد‌نظر را نيز به شبكه مسدود مي‌كنند و نمي‌گذارند هيچ بسته‌اي از طرف اين ‌‌‌IP به شبكه وارد شود‌‌. (Reactive IDS) به‌عنوان نمونه يكي از ‌‌IDSهاي معروف، اپن‌سورس و رايگان كه مي‌توانيد از اينترنت دانلود كنيد، ‌‌‌Snort است. اين نرم‌افزار در ويندوز و لينوكس قابل نصب مي‌باشد. (‌نشاني ‌www.snort.org) ‌

رابطه فايروال و IDS
در‌ ديواره‌هاي آتش امروزي ‌‌IDS نقش مهمي را به‌عهده‌دارد. مثلا امروزه فناوري‌هاي جديدي مثل‌ Intrusion Prevention System) IPS) يا سيستم پيشگيري از نفوذ‌ ديواره آتش‌ شامل ف_ * ل*_ ت ر مختلف شبكه و يك ‌‌IDS واكنشي ‌‌‌(Reactive) است كه شبكه را از آسيب‌هاي خارجي مصون نگاه مي‌دارد.

اصولا‌‌ ديواره آتش اولين عامل امنيتي (ديوار حائل بين شبكه و محيط خارج) در هر شبكه است. بهترين روش استفاده از ديواره آتش اين است كه به صورت پيش‌فرض جلوي تمامي ترافيك‌هاي ورودي به شبكه را بگيرد و فقط به مدير شبكه اجازه دهد پورت‌هاي مخصوصي را براي استفاده باز بگذارد.

مثلا مدير شبكه، پورت‌هاي 80 (ميزبان وب سايت) يا پورت 21‌‌ (‌FTP) سرور كه به صورت مكرر مورد‌استفاده قرار مي‌گيرد را بازنگه‌دارد. ولي در برخي از موارد همين پورت‌هاي باز مشكل سازند و نفوذگر مي‌تواند از طريق آن‌ها به شبكه راه بيابد.

نياز به ‌‌IDS در اين قسمت محسوس به نظر مي‌رسد. ‌‌‌IDS مي‌تواند ترافيك شبكه را در اين پورت‌هاي باز زير نظر بگيرد و در صورت مشاهده هرگونه رفتار غيرعادي، شما را مطلع كند.

اگرچه ‌‌IDSها مي‌توانند از شبكه محافظت كنند و ابزاري مناسب براي پيدا‌كردن عوامل خارجي مزاحم در شبكه شما هستند، اما درستي عملكرد و بروز بودن اين سيستم‌ها الزامي به نظر مي‌رسد. مثلا دزد گير اتومبيلي را در نظر بگيريد كه حساسيت زيادي دارد و حتي در صورت تماس دست با بدنه اتومبيل آژير را به صدا در مي آورد. اما دزد گير يك اتومبيل ديگر كه حساسيت كمي دارد، از امنيت كمتري برخوردار است و ممكن است به همين علت سرقت شود. اين مشكل در ‌IDS‌ها نيز صادق است.

در نتيجه قبل از استفاده از اين سيستم‌ها بايد از درستي و بروز بودن آن‌ها اطمينان حاصل كنيم. به‌علاوه، اگر يك ‌IDS بروز نباشد و نشانه‌هاي حمله‌هاي جديد را نشناسد، هكرها مي‌توانند به راحتي شبكه را مورد حمله قرار دهند. يعني اين كار باعث خواهد شد شبكه‌اي آسيب پذير داشته باشيم.

طراحي و ايجاد يك ‌NIDS ساده‌
‌ تا اينجا با مدل كلي‌‌IDS ها آشنا شديم. در اين قسمت يك‌‌ NIDS ‌ساده و براي سهولت كار ‌‌Off-Line مي‌سازيم. منظور از ‌‌‌Off-Line اين است كه ترافيك شبكه را كه در يك فايل ذخيره شده است بررسي مي‌كنيم، سپس فايل را آناليز مي‌نماييم و در صورت مشاهده نشانه‌هاي مشكوك و رفتارهاي غير‌عادي هر سورس پيغام‌هايي را به كاربر مي‌دهيم. براي طراحي اين سيستم از‌‌UML و براي اجراي آن مي‌توانيد از‌‌ جاوا‌ يا هر زبان برنامه نويسي ديگري (مانند ++‌C ‌يا‌‌‌ C) استفاده كنيد. ‌

براي به‌دست آوردن اطلاعات ترافيك شبكه بايد از سيستم‌هاي آناليز ترافيك شبكه استفاده كنيد. ‌‌Ethereal يك نمونه از اين سيستم‌هاست كه به صورت رايگان قابل دانلود‌كردن و استفاده مي‌باشد.

‌پس از دانلود و اجراي برنامه، به منوي ‌‌Capture برويد و ‌‌Start را انتخاب كنيد. سپس در پنجره ‌Capture Option،‌‌ دكمه OK را كليك كنيد ( شكل 4). با اين كار سيستم بسته هاي اطلاعاتي ورودي به شبكه و ترافيك شبكه را ضبط مي كند.

چند ثانيه صبر كنيد تا سيستم اطلاعات شبكه را ذخيره كند. سپس‌‌دكمه Stop ‌را كليك كنيد. بعد از زدن ‌Stop، همانطور كه در شكل 5 مشاهده مي‌كنيد، سيستم ترافيك شبكه ذخيره شده است.

‌مي‌بينيد كه ترافيك شبكه در قالب فريم‌هايي ذخيره شده است. تقريبا در هر ثانيه، دوازده فريم ذخيره مي‌شود (در مثال بالا در هيجده ثانيه حدود 223 فريم ذخيره شد).

هر فريم اطلاعاتي از قبيل آدرس ‌IP منبع فرستنده ‌‌(Source)،‌‌ آدرس ‌IP دريافت‌كننده بسته اطلاعاتي ‌‌‌‌(Destination) و پروتكل را ذخيره مي كند.

‌حال بايد اين اطلاعات را در يك فايل ذخيره كنيد (اين فايل ها به ‌TCPdump معروفند).

براي اين كار در منوي‌‌ ‌File به‌ ‌Export مي‌رويم و فريم‌ها را به صورت ‌‌Plain Text File ذخيره مي كنيم. سيستم بايد اين فايل را آناليز كند، عملكرد هر سورس را در فهرست خاص خود قرار دهد و در مرحله آخر در فهرست‌ها جستجو نمايد و دنبال مورد مشكوك بگردد. شكل 6 عملكرد كلي سيستم را در پيدا كردن موارد مشكوك نشان مي دهد.

‌مرحله بعد طراحي كلاس‌هاي برنامه است. شكل 7 هفت كلاس‌هاي اين برنامه را نشان مي دهد. همانطور كه در شكل 7 مي‌بينيد، هر كلاس كار خاصي را انجام مي دهد و تركيب اين كلاس ها برنامه ‌‌‌IDS را به وجود مي آورد كه پنج كار اصلي انجام مي دهد:

1- خواندن فايل TCPdump ‌


2- ايجاد يك پرونده براي هر سورس IP

3- كنترل‌كردن مشخصات فريم در مقايسه با مشخصات بسته‌هاي مشكوك

4- كنترل‌كردن رفتارهاي غيرعادي يك سورس

5- مطلع‌كردن مدير شبكه از ترافيك‌هاي مشكوك

خواندن فايل‌ ‌‌TCPdump
در زبان برنامه نويسي جاوا خواندن يك فايل كار دشواري نيست. توابعي مثل:
توابعي هستند كه به ما در استخراج اطلاعات فريم ياري مي‌رسانند. هر فريم در فايل‌ ‌TCPdump فرمتي مشابه شكل 8 دارد. (هر فريم در واقع نمايانگر اطلاعات يك بسته ارسالي به شبكه است)

اطلاعات مورد‌نياز ما از هر فريم عبارتند از:

-‌‌ آدرس IP فرستنده بسته‌‌

- گيرنده ‌IP بسته

- پروتكل

- پورتي كه بسته از آن ارسال شده است.

- پورت ورودي شبكه

بايد اين اطلا‌عات را از هر فريم استخراج نماييم و در كلاس‌‌ ‌‌Events قرار دهيم. شكل 9 با استفاده از تابع
StringTokenierz اين كار را انجام مي‌دهد.

ايجاد پرونده براي هر سورس ‌
همانطور كه در شكل 7 مشاهده مي‌كنيد، كلاس ‌‌EventChecker به كلاس‌ ‌ScrProfile ارتباط دارد. كلاس‌EventCheker براي هر سورسIP يك پروفايل يا پرونده تشكيل مي دهد تا بتواند عمليات آن منبع را بهتر زيرنظر داشته باشد.

كنترل‌كردن مشخصات فريم در مقايسه با نشانه‌هاي ‌بسته‌هاي مشكوك (Signature) در مرحله بعدي انجام مي‌شود. در برخي موارد، پيدا كردن نشانه‌هاي حمله به شبكه بسيار ساده است. مثلا اگر فرستنده بسته، بسته را به آدرس مشابه خود ارسال كند (آدرس IP فرستنده و گيرنده يكي باشد)، به اين نوع حمله اصطلا‌حاً ‌‌Land Attack مي‌گويند. پس اگر سيستم با فريمي مواجه شد كه آدرس فرستنده و گيرنده بسته مشابه بود، احتمال حمله به شبكه وجود‌دارد. مثلا شكل 10، دو بسته ( فريم 14 و 17) را نشان مي‌دهد كه احتمالا ‌‌Land Attack مي‌باشند.

جدول نمايش داده شده در شكل 11 برخي از نشانه‌هاي ساير حملات به شبكه را كه مي‌توانيد كنترل كنيد، نمايش داده است.

‌ كدهاي زير (با استفاده از جاوا) پروفايل هر سورس را كنترل مي‌كند و اگر يك منبع تلاش دارد بيش از حد معمول از طريق يك پورت به شبكه متصل شود، اين پورت در ليست سياه قرار مي گيرد.

همانطور كه در كدهاي شكل 12 مي بينيد اولين كار، جستجو در فهرست تمام سورس‌هاي منبع (پروفايل‌ها) است. سپس برنامه هر سورس را در نظر مي‌گيرد و فعاليت‌هاي آن منبع را در شبكه پيدا مي‌كند. در ‌‌While بعدي برنامه پورت‌هايي كه سورس مورد نظر به آن دسترسي دارد را يكي يكي ذخيره مي‌كند و اگر يك سورس از مقدار تعريف‌شده (در اينجا پنجاه‌بار) بيشتر به يك پورت دسترسي داشته باشد، پيغام اخطار داده مي‌شود. (البته در اين قسمت از برنامه مدت زمان دسترسي تعيين نشده است و شما مي توانيد با دستكاري اين قسمت از برنامه، در مدت زمان مشخص، مثلا‌ً پنج ثانيه اين كار را انجام دهيد).

‌كنترل‌ ‌NIDS بر رفتارهاي مشكوك
هكرها معمولا با سه هدف عمده به شبكه شما نفوذ مي‌كنند. از كار انداختن شبكه، خواندن و استفاده از اطلاعات سري، و تغيير يا حذف اطلاعات. در نتيجه منطقي‌ترين كار براي شناسايي رفتارهاي مشكوك در يك شبكه، پيدا‌كردن نشانه‌هايي از مزاحمت‌هايي است كه باعث مشكلات بالا مي‌شوند. در مثال بالا كه يك ‌‌NIDS غيرفعال يا Offline ‌است، موتور جستجوگر رفتارهاي مشكوك را با جستجو در قسمت ابتدايي بسته‌هاي ‌TCP/IP يعني header پيدا‌مي‌كند.

به‌اين‌صورت كه محتواي هر بسته ارسالي از سوي هر منبع را تحليل مي‌نمايد و پارامترهاي آن را با نشانه‌هاي مشكوك از پيش تعيين شده مقايسه مي‌كند و در صورت مشاهده هرگونه مورد مشكوك مدير شبكه را مطلع مي‌نمايد. در اين روش ترافيك‌هاي مشكوك شبكه بدون اين‌كه نيازي به خواندن محتواي بسته باشد، از طريق نشانه‌هاي مشكوك ‌(Signatures) ‌شناسايي مي‌شوند. روش‌هاي مختلفي براي معرفي اين نشانه‌ها وجود دارد كه از آن جمله مي توان از نشانه‌هاي برنامه‌ريزي شونده داخل سورس كد و سيستم‌هاي هوشمند نام برد.



نشانه حمله
نام حمله

آدرس فرستنده و گيرنده يكسان است‌
‌Land Attack

اين حمله كه بسيار خطرناك است، باعث از كار افتادن كامل شبكه مي‌گردد. در اين حمله فرستنده (هكر) بسته آلوده را از پورت 139 و از طريق پروتكل ‌‌TCP به سرور مي‌فرستد. ‌‌‌IDS بايد در صورت مشاهده اين عمل از جانب هر سورسي، مدير شبكه را مطلع سازد.
WinNuke Attack

وقتي كه آدرس منبع و مقصد يكي باشد و پارامتر ‌Win بزرگ‌تر از 1028 باشد.‌
ACK scan

وقتي فرستنده قصد اتصال به پورت‌هاي مهمي مثل ‌‌31، 456 يا 555 ‌‌ را داشته باشد.
اتصال به پورت‌هاي مهم

پورت اسكن در واقع عبارت است از اسكن كردن فراوان يك پورت در فاصله زماني كم. مثلا اگر يك‌‌‌IP آدرس پورت 456 را در پنج ثانيه 100 بار اسكن كند، رفتار اين ‌‌‌IP آدرس مشكوك است.
nmap و ‌Port Scan

شكل 11- نشانه حملات در بسته‌هاي ارسالي به شبكه‌



سيستم‌هاي آشكارساز نفوذ شبكه مي‌توانند برخي از مزاحمت‌هاي شبكه را اطلاع دهند و بسيار ساده هم تهيه مي‌شوند. در برخي موارد ممكن است اشتباه كنند و به مدير سيستم هشدار اشتباه بدهند. (به اين حالت اصطلاحا‌ False Alarm مي گويند).

‌براي آشنايي بيشتر با ‌NIDSها و سازوكار آن‌ها مي‌توانيد از سايت ماهنامه شبكه (قسمت دريافت فايل) فايل‌‌‌IDS.jar كه يك فايل اجرايي جاوا است را دانلود كنيد‌ ‌و با استفاده از دو فايل‌ TCPdump‌موجود ‌‌nmapsP.txt و nmap.txt مشاهده كنيد كه چگونه ‌‌IDSها قادر به شناسايي موارد مشكوك در شبكه هستند. براي اين‌كار، مراحل زير را دنبال كنيد.

- برنامه را اجرا كنيد

- با انتخاب منوي ‌File ،‌Import TCPdump را كليك كنيد.

- فايل ‌‌TCPdump را انتخاب كنيد. مثلا فايل ‌‌nmapsP.txt را انتخاب نماييد و منتظر شويد سيستم فايل را بخواند و فريم ها را آناليز كند.

از منوي Start ،‌Detection را انتخاب كنيد. سپس سيستم موارد مشكوك ‌‌(آدرسIP سورس) را شناسايي مي‌كند و به شما اطلاع مي‌دهد.

كار كردن با اين سيستم بسيار آسان است و مي‌توانيد با دستكاري فايل ‌‌TCPdump و تغيير اطلاعات فريم‌ها، موارد مشكوك بيشتري پيدا كنيد.

بااين‌كه نمي‌توان اين سيستم را با ‌‌IDS هاي بزرگ مقايسه كرد، شايد بتوان گفت اين سيستم يك نمونه بسيار كوچك از ‌IDSهاي بزرگ است و سازوكار اصلي اين سيستم‌ها را نشان مي‌دهد. استفاده از IDSها امروزه بسيار متداول شده است.

در اكثر ضد‌ويروس‌هاي امروزي ‌IDS‌هاي كوچكي تعبيه شده است كه محتواي بسته‌هاي ارسالي به كامپيوتر شما را كنترل مي كند و در صورت مشاهده مورد مشكوك،‌‌ آدرس ‌IP را مسدود مي‌نمايد و اجازه استفاده از شبكه (‌يا سيستم‌) را به آن منبع نمي دهد.

شايد بتوان گفت با اين كار امنيت بيشتري براي شبكه‌ها و حتي كامپيوترهاي شخصي به وجود مي‌آيد.

ولي برخي از اين سيستم‌ها مثل سيستمي كه در ‌‌Norton Internet Security وجود دارد، در بعضي موارد اجازه استفاده از پورت‌هاي كامپيوتر را حتي به سيستم‌هاي داخلي نيز نمي‌دهد و پورت را به صورت خودكار مي‌بندد. اگرچه شايد هنوز ‌IDS‌ها زيادي در شبكه‌هاي امروزي وجود نداشته باشند و جز معدود شركت‌هاي بزرگ فناوري اطلاعات، بقيه شركت‌ها هنوز از اين فناوري استفاده نمي‌كنند و اين سيستم‌ها را جدي نمي‌گيرند، بايد اين موضوع را در نظر داشت كه هميشه كساني هستند كه حتي براي تفريح دوست دارند به شبكه شما راه پيدا كنند.

با استفاده از ‌IDS‌ها مي‌توانيم يك كارآگاه خصوصي استخدام كنيم كه هر گونه مورد مشكوكي را قبل از اين كه زيان جدي به شبكه بزند، شناسايي و از ورود آن به شبكه ممانعت به‌عمل آورد.

اين مقاله مقدمه‌ ساده‌اي بود در مورد ‌NIDSها، مطالعه منابع زير در يادگيري بيشتر در مورد اين سيستم‌ها به شما ياري مي‌رساند.

[External Link Removed for Guests]

Totsuka,A et al.2000.Network-based intrusion detection-modeling for a larger picture

Proceedings of LISA 2000.3- 8 November2000.USENIX.pp.227-232

[External Link Removed for Guests]

Paxson,V.1999:a system for detecting network intruders in real-time

Computer Networks. 31(23-24).December1999.pp.242435.2463

[External Link Removed for Guests]

Richard, M(2001)Are there limitations of Intrusion Signatures

[External Link Removed for Guests]