You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.



  • المدخل: منظومة كشف الاختراق (IDS)

    المعادل الفارسي: سیستم تشخیص نفوذ (IDS)

    المعادل الإنجليزي: Intrusion  Detection  System

    التعريف:

    يطلق مصطلح الاختراق على مجموعة التدابير غير القانونية التي تعرّض للخطر صحة مصدر معيّن و سريّته و الوصول إليه. طبقاً لهذا التوصيف، فإنّ مهمّة منظومة كشف الاختراق هي التعرّف و تشخيص أيّ استخدام غير قانوني للمنظومة أو سوء استغلالها أو إعطابها من قبل مستخدم داخلي أو خارجي. تعدّ مسألة كشف الاختراق و منعه من الآليات الرئيسية في توفير الأمن للشبکات و المنظومات الحاسوبية، و على أيّ حال، فإنّها تستخدم إلى جانب جدران النار و بصورة مکمل أمني لها (1).

    النص:

    يمکن تقسيم الاختراق إلى قسمين أو نوعين، اختراق داخلي و اختراق خارجي. الاختراق الخارجي هو ذلک النوع الذي يقوم به أفراد مجازون و غير مجازين من خارج الشبکة إلى داخل الشبکة الداخلية، أما الاختراق الداخلي فيتم على يد أفراد مجازين في المنظومة والشبکة الداخلية و من داخل الشبکة نفسها. يستغلّ المخترقون، بشکل عام، الإشکالات البرمجية و فک کلمة السر، و التنصّت على ميزان الترددات في الشبکة، و نقاط ضعف التصميم في الشبکة، و الخدمات أو حواسيب الشبکة لاختراق الشبکات الحاسوبية.

    إنّ منظومة كشف الاختراق هي منظومة أمنية تکشف محاولات التخريب على الشبكة التي في طور الوقوع. و طريقة العمل هي٬ من خلال الاستفادة من أسلوب كشف الاختراق الذي يشمل مراحل جمع المعلومات و مسح البوابات و التحکّم بالحواسيب و أخيراً الاختراق، يمکن الإبلاغ عن اختراق المخرّبين و السيطرة على العملية. في الحقيقة يمکن القول بأنّ منظومات كشف المخترق عبارة عن منظومات تقوم باقتفاء أثر الاختراقات ضدّ التجهيزات الموجودة في الشبکة و الإبلاغ عن الهجمات ذات الصلة، و علاوة على سدّ منافذ هذه الاختراقات، تقدّم للمستخدم معلومات مفيدة و مناسبة حول طبيعة الاختراق و زمانه و هوية المخترق. تحتوي منظومات IDS على بنک کامل للمعلومات يتعلّق بأنواع البرمجيات الخاصة بالتخريب و طريقة عملها و ترکيبة محتوياتها و البوابة التي تستخدمها عادةً للاتصال، و تتيح هذه الأمور للمنظومة إمکانية التصدّي لأيّ اختراق إلى داخلها. و في هذا الإطار، فإنّ المخترق، عادةً، و قبل أن يشرع بالاختراق للحصول على بعض المعلومات عن الأوضاع الأمنية لمنظومة الهدف، يبادر إلى القيام بعمليات خاصة. على سبيل المثال، أول شيء يقوم به المخترق، في العادة، عملية تفتيش البوابات للحصول على معلومات حول البوابات المفتوحة والمغلقة لمنظومة الهدف، و طبيعة الخدمات التي ينبغي أن تتم على هذه المنظومة الفعالة إذا کانت البوابة مفتوحة (2).

    بالنسبة لمنظومة IDS إذا أجرى شخص عدداً کبيراً من الاتصالات ببوابات منظومة معينة و في فترة قصيرة، فإنّه يعتبر مخترق يقوم بعمليات مسح للبوابات. و بالنتيجة سوف ترسل هذه المنظومة تقريراً إلى مدير الشبکة بعمل المخترق و موقعه و کذا عنوان الـIP للمخترق.

    يمکن لمدراء الشبکة من خلال دراستهم لوضعية تقارير الاختراق أن يتّخذوا التدابير الخاصة بهم، و في حال ثبوت موقع المخترق، فعليهم متابعة المراحل القانونية لتفادي حصول اختراقات أخرى في المستقبل أو ربما الحصول على تعويضات عن الخسائر التي لحقت بهم.

    يتم نصب منظومة IDS على شكل أداة في الشبكة (مثل مفتاح أو سويج) مع البرنامج الحاسوبي الذي يقوم بمهمة التحكم و السيطرة و مراقبة الحركة و العبور.

    تقوم منظومة الـ IDS المثبتة في مكان مناسب بالكشف عن الحالات التالية:

    -         الهجمات المعروفة عبر التوقيع و القوانين؛

    -         التغيرات الحاصلة في حجم المرور و اتجاهه بالاستفادة من القوانين المعقدة و التحليل الإحصائي؛

    -         التغيرات في نموذج المرور التواصلي بالاستفادة من تحليل الحركة و الجريان؛

    -         الكشف عن النشاطات غير الطبيعية بالاستفادة من تحليل انحراف المعيار؛

    -         الكشف عن النشاطات المشبوهة بالاستفادة من التقنيات الإحصائية و تحليل الحركة و الكشف المخالف للقاعدة؛

    لقد ظهرت أساليب متعددة تحت مسمى أساليب الكشف عن الاختراق تضطلع بمهمة مراقبة الحوادث الواقعة في المنظومة أو الشبكة الحاسوبية. و تنقسم أساليب الكشف المستخدمة في منظومات كشف الاختراق إلى مجموعتين هما:

    1. أسلوب كشف السلوك غير الطبيعي ( Anomaly Detection)
    2. أسلوب الكشف عن الاستغلال ( Misuse Detection)

    في أسلوب كشف السلوك غير الطبيعي٬ يتم استحداث شكل أو صورة للسلوك الطبيعي٬ و أيّ انحراف أو شيء غير طبيعي قد يكون إشارة إلى اختراق ما.

    و لإيجاد صور للسلوك الطبيعي يمكن الاستفادة من بعض المقاربات مثل الشبكات العصبية٬ تقنيات تعلّم السيارة٬ أو حتى منظومات الوقاية البيئية. و لتشخيص السلوك غير الطبيعي٬ لا بدّ من الكشف عن السلوك الطبيعي٬ و خلق نماذج و قواعد خاصة به. فالسلوكيات التي تتبع هذه النماذج هي سلوكيات طبيعية٬ و الحوادث التي تسجّل انحرافاً أكثر من الحد الإحصائي العادي لهذه النماذج٬ فيتم تشخصيها على أنّها سلوكيات غير طبيعية. الاختراقات غير الطبيعية صعبة التشخيص إلى درجة كبيرة٬ و ذلك بسبب الافتقاد إلى نموذج ثابت للمراقبة. في العادة٬ يكون الحدث الذي يقع أكثر بكثير أو أقل بكثير من معيارين انحرافيين عن الرقم العادي٬ يعتبر غير طبيعي. على سبيل المثال إذا كان عدد مرات الدخول و الخروج الطبيعي للمستخدم طيلة اليوم عشرين مرة بدلاً من مرة واحدة٬ أو إنّه استخدم الحاسوب في الساعة الثانية صباحاً في حين لم يكن مقرراً استخدام الحاسوب المذكور بعد الساعات المقررة للدوام الرسمي٬ فإنّ أيّ من الحالات أعلاه يمكن أن يُنظر إليها على أنّها سلوك غير طبيعي (3).

    في أسلوب الكشف عن الاستغلال٬ فإنّ نماذج الاختراق المعدّة سلفاً (التوقيع)٬ يتم الاحتفاظ بها على شكل قانون٬ بحيث أنّ كل نموذج يضم أنواعاً متباينة من اختراق معين٬ و في حال ظهور مثل هذا النموذج في المنظومة٬ حينئذ يتم الإعلان عن وقوع اختراق. في هذه الأساليب٬ يمتلك الكاشف٬ في العادة٬ قاعدة بيانات للتواقيع أو نماذج الهجوم٬ و يحاول من خلال دراسة انترنيت الشبكة أن يعثر على النماذج المشابهة لتلك التي يحتفظ بها في قاعدة بياناته. تستطيع هذه المجموعة من الأساليب على الكشف عن الاختراقات المعروفة فحسب٬ لذا في حال ظهور هجمات جديدة في الشبكة٬ لن تستطيع تشخيصها و الكشف عنها٬ و حينئذ يجب على مدير الشبكة دائماً أن يضيف نموذج الهجمات الجديدة إلى منظومة الكشف عن الاختراق. من المزايا التي يتميّز بها هذا الأسلوب هو الدقة في الكشف عن الاختراقات التي أعطيت نماذجها عيناً إلى منظومة البيانات.

     

    الكلمات المفتاحية:

    المنظومة، الكشف عن الاختراق، الكشف عن السلوك غير الطبيعي، الكشف عن الاستغلال.

    الإحالات:

    1- حمیدی، آلاله، ضیایی، سیده مارال. معرفی سیستم ‌های تشخیص نفوذ (القسم الأول). مختبر آپا. جامعة الفردوسي٬ مشهد. 2012 م.

    2- آشنایی با مفاهیم فناوری اطلاعات و سیستم های جامع ناجا. منشورات قسم التربية و التعليم في ناجا. 2011 م.

    3- مجموعه مستندات سیستم های جامع ناجا، معاونت فاوا. الدائرة العامة لتكنولوجيا المعلومات. 2013 م.

رأيك