IPS And IDS | أنظمة كشف التسلُل وأنظمة منع التسلُل

أنواع الـ IDS:

1. (Network-based Intrusion Detection System (NIDS: يتم وضعه لمراقبة الـ Traffic المار من وإلي الشبكة والكشف عن أي نشاط مشبوه.
2. Host-based Intrusion Detection System (HIDS): يتم وضعه في أجهزة الكمبيوتر المتصلة بالشبكة (الداخلية)، لمراقبة الـ Traffic الذاهب من وإلي تلك الأجهزة حيث يمكنه أكتشاف الحزم الضارة "Network Packets" المرسلة في الشبكة الداخلية للمؤسسة، بما في الكشف عن أي جهاز مصاب يحاول التطفل علي الأجهزة الأخري.
3. Anomaly-Based Intrusion Detection System (AIDS): يعتمد هذا النوع علي طريقة ونظام معين حيث يتم تحليل الـ Traffic المستمر الخاص بالشبكة ويحلل النمط الخاص بها طبقاً للمعايير المحددة مسبقاً ويقوم بتنبية المسئولين إلي السلوك غير المعتاد الذي يحدث في الـ Traffic، الأجهزة، الـ Ports، والبروتوكولات..
4. Signature-Based Intrusion Detection System (SIDS): تعتمد تلك الأنظمة بشكل كبير علي قواعد البيانات التي تحتوي علي مجموعة كبير من التوقيعات "signatures" الخاص بهجمات أو تهديدات سابقة ومعروفة، فتقوم تلك الأنظمة القائمة علي الـ signatures بمراقبة جميع الـ Network Packets والكشف عن أي برمجيات خبية "Malwares" أو تهديدات محتملة من خلال تتطابق الـ signatures مع الأنشطة والبرمجيات الخبيثة التي تحدث.

ثانياً الـ IPS:

اختصاراً لـ Intrusion Prevention System أو نظام منع التطفل ويسمي أيضاً نظام الكشف عن التسلل ومنعه وهو نظام يتم وضعه في الشبكة لمنع أي هجوم أو تسلل محتمل بناءً علي  الخصائص المعطاه للـ Host و الـ Signatures، علي عكس الـ IDS يقوم الـ IPS بإتخاذ الإجراءات اللازمة فيقوم بجمع المعلومات عنها والإبلاغ عنها ومحاولة منع ومعالجة تلك التهديدات وإيقافها.

كيف يعمل؟

يقوم بستجيل المعلومات التي تمت ملاحظتها وإخطار مسؤلي الأمن في المؤسسة بالأحداث التي تمت ملاحظتها، وإنشاء التقارير، كما يعمل علي التصدي للتسلل ومحاولة إيقافه أو تغيير محتواه وذلك طبقاً لتقنيات مختلفة.

يتم وضعه في مسار الـ Traffic حيث يمر منه الـ Traffic ودوره أن يقوم بتحليله وكشف التسلل والتصدي له قبل وصول التهديد إلي الشبكة الداخلية.

أنواع الـ IPS:

1. Network-based intrusion prevention system (NIPS): يقوم بمراقبة الشبكة بالكامل وتحليل الـ Traffic وكشف المشبوه منه ومنعه.
2. Host-based intrusion prevention system (HIPS): يعمل علي مراقبة الـ Traffic الخاص بجهاز معين وتحليله وكشف المشبوه منه ومحاولة التصدي له.
3. Network behavior analysis (NBA): يفحص الـ Traffic الخاص بالشبكة لتحديد وكشف التهديدات التي تسبب تدفقات عالية في الشبكة كـ هجوم حجب الخدمة، وأشكال مختلفة من الـ Malwares وأنتهاكات السياسة.
4. Wireless intrusion prevention system (WIPS): يقوم بمراقبة الـ Traffic للشبكة اللاسلكية.

الأستنتاج:

1. الـ IDS لا يتم وضعه في مسار الـ Traffic فيقوم بأكتشاف التهديد والإبلاغ عنه والتنبيه لكي يتم منعه.
2. الـ IPS يتم وضعه في مسار الـ Traffic فيقوم بالكشف عنه والإبلاغ ومحاولة التصدي له أو تغيير محتواه وإسقاط الهجمات الضارة.
3. يمكن أن تعمل كلاً من أنظمة IPS و IDS معاً لتحقيق حماية كافية للتصدي للهجمات والتسلل الضار.

وإلي هنا عزيزي القارئ نكون قد أنهينا مقالتنا ونأمل أن تكون قد أستفدت فهدفنا أن نستفيد ونُفيد، فلا تنسي أن تشاركنا بتعليقاتك وتلقي نظره علي المصادر، دمت في سلام  

References:

• Intrusion Detection and Prevention Systems | SpringerLink
• What is an intrusion detection system? How an IDS spots threats | CSO Online
• 7 Ways to Get the Most from Your IDS/IPS (darkreading.com)
• Intrusion Prevention System (IPS) - GeeksforGeeks