إن المتسللين يميلون إلى الاستفادة الكاملة من خلال خداع المستخدمين أو تجاوز قيود المنتجات التكنولوجية المستخدمة، مما يسمح لهم بالحصول على وصول كامل، أدت هذه المخاطر إلى ضرورة وجود نهج استباقي تجاه الأمن السيبراني لتحديد الأحداث والاستعداد لها والاستجابة لها.
منهجيات عمل نظام منع اختراق المضيف HIPS
1. المنهج الأول من عمل نظام منع اختراق المضيف HIPS
يحلل نظام منع اختراق المضيف (HIPS) الأحداث التي تحدث داخل مضيف واحد لاكتشاف الأنشطة المشبوهة، تحمي حلول (HIPS) المضيف من طبقة الشبكة إلى طبقة التطبيق ضد الهجمات الإلكترونية المعروفة وغير المكتشفة، إذا حاول أحد المتطفلين أو الفيروسات تعديل نظام التشغيل أو أحد التطبيقات، فإن (HIPS) يمنع العملية ويبلغ المستخدم حتى يتمكن من اتخاذ الإجراءات التالية المناسبة.
يحدد (HIPS) التدخلات من خلال تحليل مكالمات النظام وسجلات التطبيق وتحديثات نظام الملفات باستخدام قاعدة بيانات لكائنات النظام والثنائيات وملفات كلمات المرور وقواعد بيانات القدرة وقوائم التحكم في الوصول، يتذكر نظام (HIPS) خصائص كل كائن ويحسب مجموع اختباري لمحتويات كل كائن.
يتم الاحتفاظ بهذه البيانات في قاعدة بيانات آمنة لأغراض المقارنة، ثم يتحقق النظام من عدم تغيير مواقع الذاكرة ذات الصلة، بدلاً من استخدام الأنماط الفيروسية لاكتشاف البرامج الضارة، فإنه يحتفظ بقائمة من التطبيقات الجديرة بالثقة، يتم منع البرامج التي تتجاوز أذوناتها من القيام بأنشطة غير مصرح بها.
يتم استخدام حلول منع التطفل المستندة إلى المضيف لحماية أجهزة نقطة النهاية، بمجرد اكتشاف السلوك الضار، يمكن لنظام (HIPS) تنفيذ مجموعة متنوعة من الإجراءات، بما في ذلك تنبيه مستخدم الكمبيوتر وتوثيق النشاط الضار لمزيد من التحليل وإعادة تعيين الاتصال وتجاهل الحزم الضارة وحظر حركة المرور من عنوان (IP) المشتبه فيه، تسمح بعض أنظمة منع اختراق المضيف للمستخدمين بنقل سجلات الأنشطة الضارة وأجزاء التعليمات البرمجية المشبوهة مباشرةً إلى البائع لتحليلها واكتشافها المحتمل.
يستخدم نظام منع اختراق المضيف (HIPS) التوقيعات، وهي أنماط هجوم راسخة، لتحديد السلوك الضار، يكون الاكتشاف المستند إلى التوقيع ناجحًا ولكنه يحمي الجهاز المضيف فقط من التهديدات المعروفة، لا يمكنه الدفاع ضد هجمات يوم الصفر أو التوقيعات غير الموجودة في قاعدة بيانات التوقيع الخاصة بالموفر.
ملاحظة: “HIPS” اختصار لـ “Host Intrusion Prevention System”.
ملاحظة: “IP” اختصار لـ “Internet Protocol”.
2. المنهج الثاني من عمل نظام منع اختراق المضيف HIPS
الطريقة الثانية لاكتشاف التطفل يولد (HIPS) خطًا أساسيًا للنشاط النموذجي، والذي تتم مقارنته بعد ذلك بالنشاط الحالي، يبحث نظام (HIPS) عن التشوهات، مثل: عرض النطاق الترددي والبروتوكول ومخالفات المنفذ، قد يكون التوغل قيد التقدم عندما ينحرف النشاط عن نطاق مسموح به، مثل محاولة برنامج بعيد لفتح منفذ مغلق عادةً، ومع ذلك، فإن أي خلل مثل الزيادة السريعة في استخدام النطاق الترددي، لا يشير بالضرورة إلى هجوم حقيقي، لذلك، ترقى هذه الاستراتيجية إلى حد التخمين مع وجود احتمال كبير للإيجابيات الخاطئة.
يعمل نظام (HIPS) عن طريق التحقق من التغييرات غير الطبيعية بحيث يمكن لبرامج المستخدم اتخاذ الإجراءات اللازمة المحددة مسبقًا، لا يعمل هذا النظام على أجهزة الكمبيوتر فحسب، بل يمكن أيضًا تثبيته لحماية محطات العمل والخوادم الخاصة، يراقب النظام إجراءات مثل: عمليات التنفيذ والنواة وذاكرة الجهاز والملفات والشبكات وحالات المخزن المؤقت.
3. المنهج الثالث من عمل نظام منع اختراق المضيف HIPS
يعتبر التفتيش المصحوب بالحالة نهجًا ثالثًا متكررًا لـ (HIPS)، حيث يقوم بتقييم البروتوكولات الفعلية في الحزم التي تعبر الشبكة، نظرًا لأن أداة الحماية من البرامج الضارة تراقب حالة كل بروتوكول، بالإضافة إلى القيم التي يجب أو لا ينبغي حملها داخل كل حزمة من كل بروتوكول، يبحث تحليل البروتوكول ذو الحالة عن حالات الخروج عن الحالات العادية لمحتوى البروتوكول ويبلغ عن هجوم محتمل إذا تم اكتشاف اختلاف غير متوقع، نظرًا لأن التحليل القائم على الحالة أكثر إدراكًا لمحتويات الحزمة الحقيقية من اكتشاف الشذوذ الإحصائي، يتم تقليل احتمالية الإيجابيات الخاطئة إلى حد كبير.
إذا كان الهجوم يحاول استغلال ثغرة أمنية ليس لها توقيع، فلن يحظرها برنامج مكافحة الفيروسات، تتخذ حلول نظام منع اختراق المضيف نهجًا مختلفًا لأمان الكمبيوتر عن برنامج مكافحة البرامج الضارة للتوقيع النموذجي، كما يتحكم (HIPS) في تكامل البرنامج بدلاً من محاولة مطابقة التوقيعات من ملايين عينات البرامج الضارة الموجودة.
يعتبر نظام (HIPS) مهمًا لغايات الأمان، وذلك لأن لديه القدرة على إيقاف نشاط ما بمجرد اكتشاف سلوك غير طبيعي، كما يعمل (HIPS) أيضًا على نطاق أوسع لأنه لا يمنع البرامج الضارة وحدها ويكتشف أوامر النظام التي لا يفهمها.
