تهدف أنظمة كشف التسلل إلى منع الهجمات الواردة وتساعد المسؤولين على اكتشاف الثغرات الأمنية في أنظمتهم، هناك العديد من التقنيات لأنظمة (IDPS) من المهم اتباعها للحد من البرامج الضارة وغيرها من طرق الهجوم المختلفة.
ما هي تقنيات أنظمة كشف التسلل IDPS
1. الكشف المستند إلى التوقيع
التوقيع هو نمط محدد في الحمولة، يمكن أن يكون هذا النمط المحدد أي شيء من تسلسل (1s و 0s) إلى عدد البايتات، تأتي معظم البرامج الضارة والهجمات الإلكترونية مصحوبة بتوقيعها الذي يمكن التعرف عليه، مثال آخر على التوقيع هو شيء بسيط مثل اسم المرفق في رسالة بريد إلكتروني ضارة، يحتفظ نظام (IDP) بقاعدة بيانات لتوقيعات البرامج الضارة المعروفة مع الكشف القائم على التوقيع.
ملاحظة: “IDPS” اختصار لـ “Intrusion detection and prevention systems”.
2. الكشف على أساس الشذوذ
يعمل الكشف عن الأخطاء الشاذة على المراقبة الدائمة، تم تكوين السلوك العادي لجميع المستخدمين والمضيفين والأنظمة والتطبيقات، يعتبر أي انحراف عن هذا المعيار شذوذًا ويتم التنبيه إليه، على سبيل المثال، إذا أنشأ معرف البريد الإلكتروني مئات رسائل البريد الإلكتروني في غضون ساعات قليلة، فإن فرص اختراق حساب البريد الإلكتروني هذا تكون عالية.
يعد اكتشاف العيوب أفضل من الاكتشاف المستند إلى التوقيع عند التفكير في هجمات جديدة غير موجودة في قاعدة بيانات التوقيع، كما يستغرق إنشاء ملفات التعريف الأساسية هذه وقتًا طويلاً.
3. تحليل البروتوكول ذو الحالة
يستخدم اكتشاف العيوب ملفات تعريف خاصة بالمضيف أو الشبكة لتحديد النشاط المشبوه، يذهب تحليل البروتوكول ذو الحالة خطوة إلى الأمام ويستخدم المعايير المحددة مسبقًا لكل حالة بروتوكول للتحقق من الانحرافات، على سبيل المثال، بروتوكول نقل الملفات (FTP) يسمح فقط بتسجيل الدخول عند عدم المصادقة، بمجرد مصادقة الجلسة.
يمكن للمستخدمين عرض الملفات أو إنشائها أو تعديلها بناءً على أذوناتهم، يعتمد تحليل البروتوكول ذو الحالة بشكل كبير على تعريفات البروتوكول المعتمدة على المستخدم.
