ما هو نظام كشف التسلل؟
هو نظام يراقب حركة مرور الشبكة بحثاً عن أي نشاط غريب، ويصدر تنبيهات عند اكتشافه. قد يكون هذا النشاط ضاراً أو ينتهك السياسة والخصوصية، في أي مرحلة من الهجوم وحتى مرحلة الاختراق.
أنواع نظام كشف التسلل
- نظام كشف التسلل إلى الشبكة (NIDS): يتم إعداد هذا النظام داخل الشبكة لفحص حركة المرور من جميع الأجهزة المتصلة معها، ما يؤدي لتكوين رؤية شاملة لأجزاء الشبكة كافة وتأمين الحماية اللازمة لها.
- نظام كشف اختراق المضيف (HIDS): يتم إعداد هذا النظام لمراقبة الحزم الصادرة والواردة على الجهاز المضيف وتحليلها بعمق إضافة إلى تنبيه المسؤول في حال العثور على أي نشاط غريب.
كيف تعمل أنظمة كشف التسلل؟
تُستخدم أنظمة كشف التسلل لاكتشاف الحالات الشاذة بهدف ملاحقة المتسللين قبل أن يتسببوا في إلحاق ضرر حقيقي بالشبكة.
يمكن أن تكون أنظمة كشف التسلل إما قائمة على الشبكة أو على المخدم المركزي. حيث يتم تثبيت نظام كشف التسلل المستند إلى المخدم على حاسوب العميل، بينما يوجد نظام كشف التسلل المستند إلى الشبكة على الشبكة نفسها.
تعمل أنظمة كشف التطفل إما بالتنبؤ بهجمات معروفة مسبقاً أو كشف مباشر لأي انحرافات عن النشاط الطبيعي. يتم دفع هذه الانحرافات أو الحالات الشاذة إلى قمة المكدس وفحصها في طبقة التطبيقات، إذ يمكنها اكتشاف الأحداث بشكل فعال مثل حالات تسمي نظام اسم النطاق (DNS).
يمكن أن تعمل أنظمة كشف التسلل كتطبيق برمجي على أجهزة العميل أو كجهاز أمان للشبكة. تتوفر أيضاً أنظمة كشف التسلل المستندة إلى السحابة لحماية البيانات والأنظمة في عمليات النشر السحابية.
طرق كشف التسلل
- الطريقة المعتمدة على التوقيع: تكتشف الهجمات القادمة على أساس الأنماط المحددة مثل عدد البايتات في حركة مرور الشبكة، ويكشف تسلسل المعلومات للبرامج الضارة المعروف مسبقاً، ويتم الاحتفاظ بنمطها للتعرف إليه مستقبلاً.
- الطريقة المستندة إلى الشذوذ: يتم اكتشاف الهجمات عن طريق الأنماط غير المعروفة، وهنا يتم استخدام التعلم الآلي لإنشاء نموذج للنشاطات الموثوقة وتتم مقارنته بأي نشاط قادم، ويتم تنبيه الشخص المسؤول. تتميز هذه الطريقة بتقديم توقعات للتهديدات المستقبلية، إضافة لإمكانية تدريب النموذج وفقاً للتطبيقات وتكوينات الأجهزة.
- الطريقة الهجينة: يستخدم هذا النظام الطريقة المعتمدة على التوقيع والطريقة المستندة إلى الشذوذ، ما يزيد من احتمال اكتشاف الأخطاء مقارنة باستخدام كل نظام على حدة.