هناك أنواع مختلفة من أنظمة كشف التسلل (IDS) لحماية الشبكات، حيث أصبحت هجمات التطفل أكثر شيوعًا على نطاق عالمي، بالإضافة إلى ذلك، يحاول المتسللون من خلال تقنيات جديدة اختراق النظام، (IDS) هي أداة تحدد هذه الهجمات وستتخذ خطوة فورية لإعادة النظام إلى طبيعته، حيث يمكن ان يكتشف نظام كشف التسلل أيضًا حركة مرور الشبكة ويرسل إنذارًا إذا تم العثور على اختراق.
أنواع أنظمة كشف التسلل IDS
نظام كشف التسلل إلى الشبكة NIDS
يتم إعداد نظام الكشف عن اختراق الشبكة عبر الشبكة عند نقطة محددة، حيث ان (NIDS) وهو عبارة عن جهاز مستقل يتضمن اجهزة استشعار موجودة في نقاط على طول الشبكة، يراقب حركة المرور على الشبكة من جميع الأجهزة، وبالمثل فإنه يفحص حركة المرور التي تمر على الشبكة الفرعية بأكملها ويتحقق منها باستخدام بيانات تعريف الحزمة والمحتوى، إذا كشف (NIDS) أي اختراق في الشبكة، فسيتم إرسال تنبيه تحذير إلى مسؤول تلك الشبكة، أفضل ميزة لـ (NIDS) هي أنه إذا تم تثبيتها في نفس الموقع حيث يوجد جدار الحماية، فسوف تكتشف ما إذا كان شخص ما يحاول مهاجمة جدار الحماية. بمعنى آخر، بمساعدة (NIDS)، سيتم أيضًا حماية جدار الحماية من أي انتهاك للسياسة.
نظام كشف اختراق المضيف HIDS
تقوم المنظمات بتثبيت نظام اكتشاف اختراق المضيف (HIDS) وهو نظام امان ضد البرامج الضارة، على أجهزة مستقلة متصلة بالشبكة، ومع ذلك، يختبر (HIDS) حركة المرور الواردة والصادرة للجهاز فقط، كما يكتشف ايضا الأنشطة المشبوهة على الجهاز وينبه المسؤول، يتحقق (HIDS) أيضًا مما إذا كانت ملفات النظام في غير مكانها أم لا، لذلك فهي تأخذ لقطة شاشة لنظام الملفات الحالي وتتحقق منها من خلال التقاط الشاشة لنظام الملفات السابق، يقوم نظام الملفات هذا بتخزين المعلومات التحليلية لحركة مرور الشبكة، على سبيل المثال، إذا تم وضع الملفات في غير مكانها أو تم تغييرها، فسيتم إرسال تنبيه إلى المسؤول.
نظام IDS القائم على البروتوكول PIDS
تقوم المنظمات بإعداد نظام للكشف عن التسلل قائم على البروتوكول في الواجهة الأمامية للخادم، حيث تكون البروتوكولات بين الخادم والمستخدم، يراقب بروتوكول (PIDS) خادم (HTTPS) بانتظام لتأمين الويب، وبالمثل، فإنه يسمح لخادم (HTTP) المرتبط بالبروتوكول.
IDS القائم على بروتوكول التطبيق APIDS
(PIDS) تم إعدادها في الواجهة الأمامية للخادم، وبالمثل، يتم إعداد (APIDS) ضمن مجموعة من الخوادم، يكون مسؤول عن الاتصال مع التطبيقات داخل الخادم لاكتشاف التطفل.
نظام كشف التسلل الهجين
نظام الكشف عن التسلل الهجين عبارة عن مزيج من نظامي (IDS) مختلفين، يطور النظام الهجين نظام شبكة من خلال الجمع بين وكلاء المضيف ومعلومات الشبكة، ويعد النظام الهجين أكثر استجابة وفعالية مقارنة بأنظمة IDS الأخرى.
أنواع طرق أنظمة كشف التسلل
طريقة كشف التسلل المعتمد على التوقيع
طور (IDS) طريقة كشف التسلل القائمة على التوقيع لفحص حركة مرور الشبكة واكتشاف أنماط الهجوم، على سبيل المثال، يتحقق من حركة مرور الشبكة باستخدام بيانات السجل لتحديد التطفل، إذا كشفت هذه الطريقة عن أي تطفل، فإن (IDS) ينشئ توقيعًا عليه ويضيفه إلى القائمة، كما تُعرف الأنماط التي يتم اكتشافها بالتسلسلات وهذه التسلسلات عبارة عن عدد محدد من البايتات أو مجموعة من 0 و 1 في الشبكة، ومع ذلك، فمن السهل اكتشاف الهجمات التي توجد أنماط في النظام في شكل توقيعات، لكن من الصعب اكتشاف هجمات جديدة لم يتم إنشاء توقيعها بعد.
طريقة كشف التسلل المعتمد على الشذوذ
من الصعب اكتشاف هجمات برامج ضارة غير معروفة أو جديدة بمساعدة طريقة الكشف المستند إلى التوقيع، لذلك تستخدم المنظمات طريقة اكتشاف التسلل المستند إلى الانحراف لتحديد تلك الهجمات المشبوهة الجديدة وغير المعروفة وخرق السياسة التي لا تستطيع طريقة الكشف المستندة إلى التوقيع التعرف عليها بسهولة.
ومع ذلك، فإن تقنيات التطفل الجديدة والبرامج الضارة تتزايد بسرعة، تستخدم هذه الطريقة التعلم الآلي لإنشاء نموذج نشاط، حيث إذا كشفت هذه الطريقة أي أنماط استقبال غير موجودة في النموذج، فإن الطريقة تعلن عن هذه الأنماط على أنها أنماط ضارة، حيث يعتبر نظام الكشف القائم على الانحراف أفضل مقارنة بالطريقة المعتمدة على التوقيع.
طريقة الكشف الهجين
تستخدم الطريقة الهجينة طرق اكتشاف التسلل المستندة إلى التوقيع والشذوذ معًا، ومع ذلك فإن السبب الرئيسي وراء تطوير نظام الكشف الهجين هو تحديد المزيد من الهجمات المحتملة مع عدد أقل من الأخطاء.