أنظمة كشف التسلل IDS

يمكننا تعريف أنظمة كشف التسلل ( تُسمى أحياناً كشف الاختراق) IDS – Intrusion Detection System بأنها الأنظمة التي تعمل على مراقبة حركة البيانات ضمن الشبكة بحثاً عن أي نشاط مشبوه وإصدار تنبيهات عند اكتشاف مثل هذا النشاط.

أي أن نظام كشف التسلل يقوم بعملية فحص لحركة البيانات داخل الشبكة بحثاً عن أي نشاط ضار ينتهك سياسة الحماية ويعمل أيضاً على ابلاغ مدير النظام عن هذا النشاط ولكنه لا يقوم بمنعه . ( يعمل على الكشف فقط ولا يتخذ اجراء لمنع النشاط الخبيث).

يمكن لأنظمة كشف الاختراق (التسلل) IDS أن تقوم بإرسال التنبيهات إلى نظام إدارة الأحداث الأمنية SIEM. يقوم SIEM بتلقي المخرجات من مصادر متعددة. كما يستخدم تقنيات فلترة للتنبيهات للتمييز بين التنبيهات الخاصة بالنشاط الضار الإنذارات الكاذبة و تلك الحقيقية. (سنتعرف على SIEM في مقال قادم).

تعمل أنظمة كشف التسلل IDS على مراقبة حركة البيانات عبر الشبكة بحثاُ عن أي نشاط ضار محتمل. لكنها من ممكن أن تقوم بعرض إنذارات كاذبة. لذلك يجب على مهندس الحماية القيام بعملية ضبط وإعداد هذه الأنظمة بشكل صحيح. عند قيامه بذلك يستطيع الـ IDS التعرف على حركة البيانات العادية أو النشاط العادي ضمن الشبكة والتمييز بينه وبين النشاط الضار أو الخبيث.

أنواع أنظمة كشف الاختراق:

يمكن تصنيف أنظمة كشف الاختراق ضمن أربع أنواع:

• NIDS – Network Intrusion Detection System: أنظمة كشف الاختراق الخاصة بالشبكة. و يتم إعدادها في مكان محدد داخل الشبكة لتعمل على فحص ومراقبة حركة البيانات من جميع الأجهزة الموجودة داخل الشبكة. كما تقوم بمراقبة حركة البيانات الخاصة بالشبكات الفرعية ومقارنتها مع القواعد الخاصة بالهجمات المعروفة. وبمجرد اكتشاف أي نشاط أو سلوك غير طبيعي تعمل على إرسال تنبيه لمدير النظام أو مسؤول الحماية.

• HIDS – Host Intrusion Detection System: أنظمة كشف الاختراق الخاصة بالأجهزة. وهي تعمل على أجهزة مستقلة ضمن الشبكة وتراقب حركة البيانات الصادرة والواردة لهذا الجهاز فقط. وتعمل على إعلام المسؤول في حال اكتشاف أي نشاط أو سلوك غير طبيعي. إن معظم برامج الحماية من الفيروسات لديها هذه الميزة. حيث تقوم بمراقبة حركة المرور الواردة والصادرة بالإضافة إلى مهامها في فحص الفير وسات . يمكن أن يكون هذا مفيداً بشكل خاص للتنبه فيما إذا كان الجهاز قد تم اختراقه و أصبح جزءاً من شبكة botnet لمهاجمة الخوادم / الشبكات الأخرى.

• PIDS – Protocol-based Intrusion Detection System: أنظمة كشف الاختراق بالاعتماد على البرتوكولات. تستخدم كطبقة حماية للمخدمات. حيث تعمل على التحكم بحركة البيانات الخاصة بالبرتوكولات بين المستخدم والسيرفر. وتحاول تأمين حماية لسيرفرات الويب من خلال مراقبة حركة البيانات الخاصة ببرتوكولات HTTP/HTTPS . أو عبر مراقبة حركة البيانات الخاصة للـ SQL أثناء تعامل البرامج الوسيطة مع سيرفرات الويب وقواعد البيانات.

• Hybrid Intrusion Detection System: أنظمة كشف الاختراق الهجينة. تعمل هذه الأنظمة من خلال الجمع بين طريقتين أو أكثر من الطرق السابقة . ويتم في هذا النوع دمج معلومات النظام مع معلومات الشبكة وهذا النوع يعتبر الأكثر فاعلية بالمقارنة مع الأنواع السابقة.

الطرق المستخدمة ضمن أنظمة كشف الاختراق IDS:

• الكشف بالاعتماد على التوقيع الرقمي Signature-based: تتم عملية الكشف من خلال مقارنة التوقيعات الرقمية مع توقيعات رقمية معروفة مسبقاً للهجمات. وهذا الامر يعتمد على مطابقة أنماط محددة مثل عدد البايتات أو تسلسل مطابق لعدد محدد من البايتات ضمن حركة البيانات. تعتبر هذه التقنية فعالة لاكتشاف الهجمات ذات الأنماط المعروفة مسبقاً. ولكنها تعتبرغير فعالة ضد الهجمات التي تتم من خلال أسلوب استغلال جديد لم يسبق معرفته. أو الهجمات الجديدة مثل هجمات zero day attack. نلاحظ أنه في هذا السيناريو يقع عبء عمل كبير على نظام IDS حيث يتعين عليه مقارنة أعداد ضخمة من التوقيعات. علماً أن سرعة الاكتشاف تلعب دوراً رئيسياً في منع هذه الهجمات. لذلك في الشبكات الكبيرة يتم تركيب عدة أنظمة كشف على التوازي بشكل يمكنها من التعامل مع المستويات العالية من تدفق البيانات.

• الكشف بالاعتماد على السلوك الشاذ Anomaly-based: تم إيجاد هذا النمط لسد الثغرة في الطريقة السابقة. و تحسين إمكانية الكشف للتعامل مع الهجمات أو البرمجيات الخبيثة الغير معروفة. إن عمليات تطوير الهجمات والبرمجيات الخبيثة الجديدة تتم بشكل سريع جداً و لذلك فإن الأسلوب السابق المعتمد على الكشف بالاعتماد على التوقيع أو البصمة الرقمية لن يكون فعالاً بالتعامل مع هذا التطور السريع للهجمات والبرمجيات. تعتمد هذه التقنية على مراقبة السلوك. وهذا النوع يعمل بالاعتماد على خوارزميات الذكاء الصنعي و تعلم الألة. حيث يتم من خلاله التدرب على اكتشاف النشاط الطبيعي للأجهزة وحركة البيانات بالحالات العادية ليتمكن من تمييز أي نشاط شاذ مختلف عن الحالات العادية (الطبيعية). و مع ذلك، لا بد من التنويه، أن دقة نظام كشف التسلل مازالت تمثل تحدياً تشغيلياً أساسياً. حيث تبقى الإنذارات الكاذبة مشكلة كبيرة لمديري الشبكات و مسؤولي الأمن على الرغم من السنوات الطويلة من البحث في هذا المجال. يستمر IDS بتوليد تنبيهات إيجابية كاذبة false positive لبرامج شرعية تنفذ سلوكاً مشبوهاً ولكنه حميد. و بالمقابل فإن التنبيهات السلبية الكاذبة false negative تحدث عندما يظل النشاط الخبيث غير مكتشف.

Firewall vs. IDS:

كلا الجهازين يعملان على تأمين الحماية للشبكة. ولكن الاختلاف الرئيسي هو أن أنظمة كشف الاختراق IDS يمكنها اكتشاف الهجمات داخل الشبكة وإرسال تنبيه لمدير النظام بذلك أما الجدران النارية فتعمل على منع حركة البيانات الخبيثة بين المصادر الخارجية وداخل الشبكة. وبشكل عام لا يمكن للجدران النارية اكتشاف أو منع الهجمات التي تتم داخل الشبكة.

الفرق بين أنظمة كشف الاختراق IDS وأنظمة منع الاختراق IPS:

أنظمة كشف الاختراق IDS يمكنها فقط اكتشاف النشاط الخبيث وارسال تنبيه لمدير النظام أو مسؤول الحماية ولا يمكنها منع هذا النشاط. أما أنظمة منع الاختراق IPS فيمكنها كشف النشاط الخبيث وتعمل على اتخاذ اجراء لمنع تنفيذ هذا النشاط.
بشكل عام يجب أن تحوي الشبكة على أكثر من طبقة حماية وهذا يتم من خلال استخدام الجدران النارية وأنظمة منع الاختراق وأنظمة كشف الاختراق وأنظمة الحماية الأخرى التي سنتعرف عليها في المقالات القادمة.