نظام كشف التسلل (IDS)

السلام عليكم ورحمة الله وبركاته 

نظام كشف التسلل (IDS) هو نظام يراقب حركة مرور الشبكة بحثًا عن أي نشاط مشبوه ويصدر تنبيهات عند اكتشافها، ويقوم بمسح شبكة أو نظام ما بحثًا عن نشاط ضار أو انتهاك للسياسة والخصوصية وعادةً ما يتم الإبلاغ عن أي نشاط ضار أو انتهاك إما إلى المسؤول أو يتم جمعه مركزيًا باستخدام نظام إدارة المعلومات والأحداث (SIEM) ويدمج نظام SIEM المخرجات من مصادر متعددة ويستخدم تقنيات تصفية الإنذارات للتمييز بين النشاط الضار والإنذارات الكاذبة وعلى الرغم من أن أنظمة كشف التسلل تراقب الشبكات بحثًا عن أي نشاط ضار محتمل إلا أنها تتعرض أيضًا للإنذارات الكاذبة ومن ثم تحتاج المؤسسات إلى ضبط IDS الخاصة بها عند تثبيتها لأول مرة وهذا يعني إعداد أنظمة الكشف عن التسلل بشكل صحيح للتعرف على شكل حركة المرور العادية على الشبكة مقارنة بالنشاط الضار وتراقب أيضًا حزم الشبكة الواردة إلى النظام للتحقق من الأنشطة الضارة المتضمنة فيه وترسل إخطارات التحذير في الحال.

-يتم تصنيف IDS إلى 5 أنواع:

١-نظام كشف التسلل إلى الشبكة (NIDS):   

 يتم إعداد أنظمة اكتشاف اختراق الشبكة (NIDS) في نقطة مخططة داخل الشبكة لفحص حركة المرور من جميع الأجهزة الموجودة على الشبكة ويقوم بملاحظة مرور حركة المرور على الشبكة الفرعية بأكملها ويطابق حركة المرور التي يتم تمريرها على الشبكات الفرعية إلى مجموعة الهجمات المعروفة وبمجرد تحديد هجوم أو ملاحظة سلوك غير طبيعي يمكن إرسال التنبيه إلى المسؤول مثال على NIDS هو تثبيته على الشبكة الفرعية حيث توجد جدران الحماية لمعرفة ما إذا كان شخص ما يحاول كسر جدار الحماية.   

٢- نظام كشف اختراق المضيف (HIDS):    

تعمل أنظمة اكتشاف اقتحام المضيف (HIDS) على مضيفين مستقلين أو أجهزة على الشبكة ويراقب HIDS الحزم الواردة والصادرة من الجهاز فقط وينبه المسؤول في حالة اكتشاف نشاط مشبوه أو ضار ويأخذ لقطة من ملفات النظام الموجودة ويقارنها مع اللقطة السابقة وإذا تم تحرير ملفات النظام التحليلي أو حذفها فسيتم إرسال تنبيه إلى المسؤول للتحقيق ويمكن رؤية مثال على استخدام HIDS في آلات المهام الحرجة والتي لا يُتوقع أن تغير تصميمها.    

٣-نظام كشف التسلل المعتمد على البروتوكول (PIDS):    

يتألف نظام كشف التطفل المعتمد على البروتوكول (PIDS) من نظام أو وكيل يتواجد باستمرار في الطرف الأمامي للخادم ويتحكم ويفسر البروتوكول بين المستخدم / الجهاز والخادم حيث تحاول تأمين خادم الويب من خلال مراقبة تدفق بروتوكول HTTPS بانتظام وقبول بروتوكول HTTP ذي الصلة ونظرًا لأن HTTPS غير مشفر وقبل الدخول على الفور إلى طبقة العرض على الويب سيحتاج هذا النظام إلى الإقامة في هذه الواجهة بين استخدام HTTPS.    

٤-نظام كشف التسلل المستند إلى بروتوكول التطبيق (APIDS):    

نظام كشف التطفل المستند إلى بروتوكول التطبيقات (APIDS) هو نظام أو وكيل موجود بشكل عام داخل مجموعة من الخوادم ويحدد التدخلات من خلال مراقبة وتفسير الاتصالات على بروتوكولات محددة التطبيق فعلى سبيل المثال سيؤدي هذا إلى مراقبة بروتوكول SQL الصريح للبرامج الوسيطة أثناء تعامله مع قاعدة البيانات في خادم الويب.    

٥-نظام كشف التسلل الهجين:    

يتكون نظام الكشف عن التسلل الهجين من خلال الجمع بين طريقتين أو أكثر من نظام الكشف عن التسلل ويتم دمج بيانات النظام أو الوكيل المضيف مع معلومات الشبكة لتطوير عرض كامل لنظام الشبكة ويعتبر نظام الكشف عن التسلل الهجين أكثر فاعلية بالمقارنة مع أنظمة كشف التسلل الآخرى، إحدى الأمثلة:  Prelude.

طريقة الكشف عن IDS: 

-الطريقة المعتمدة على التوقيع:   

 تكتشف أنظمة اكتشاف الهوية القائمة على التوقيع الهجمات على أساس الأنماط المحددة مثل عدد البايتات أو عدد 1 أو عدد 0 في حركة مرور الشبكة. يكتشف أيضًا على أساس تسلسل التعليمات الضارة المعروف بالفعل والذي يستخدمه البرنامج الضار وتُعرف الأنماط المكتشفة في نظام كشف التسلل بالتوقيعات ويمكن لـ IDS القائم على التوقيع بسهولة اكتشاف الهجمات التي يوجد نمطها (توقيعها) بالفعل في النظام ولكن من الصعب جدًا اكتشاف هجمات البرامج الضارة الجديدة لأن نمطها (التوقيع) غير معروف.    

-الطريقة المستندة إلى الشذوذ:

 تم تقديم IDS المستند إلى الشذوذ للكشف عن هجمات البرامج الضارة غير المعروفة حيث يتم تطوير برامج ضارة جديدة بسرعة، وهناك استخدام للتعلم الآلي لإنشاء نموذج نشاط موثوق به ويتم مقارنة أي شيء قادم بهذا النموذج ويتم الإعلان عن الشك إذا لم يتم العثور عليه في النموذج وتتميز هذه الطريقة القائمة على التعلم الآلي بخاصية معممة بشكل أفضل مقارنةً بنظام IDS القائم على التوقيع حيث يمكن تدريب هذه النماذج وفقًا للتطبيقات وتكوينات الأجهزة. 

-مقارنة IDS بجدران الحماية:

يرتبط كل من IDS وجدار الحماية بأمان الشبكة ولكن IDS يختلف عن جدار الحماية حيث يبحث جدار الحماية خارجيًا عن عمليات التطفل من أجل منع حدوثها وتقيد جدران الحماية الوصول بين الشبكات لمنع التطفل وإذا كان الهجوم من داخل الشبكة فلا يرسل إشارة ويصف IDS اقتحامًا مشتبهًا به بمجرد حدوثه ثم يرسل إشارة إنذار.

المصدر هنا وهنا.