- - أنظمة كشف التسلل المستندة إلى الشبكة: 5 أدوات NIDS أفضل للاستخدام

أنظمة كشف التسلل المستندة إلى الشبكة: 5 أفضل أدوات NIDS للاستخدام

يبدو أن الجميع يشعر بالقلق في هذه الأياممع الأمن. من المنطقي عند النظر في أهمية الجريمة الإلكترونية. يتم استهداف المنظمات من قبل المتسللين الذين يحاولون سرقة بياناتهم أو إلحاق الأذى بهم. تتمثل إحدى الطرق التي يمكنك بها حماية بيئة تكنولوجيا المعلومات الخاصة بك ضد هذه الهجمات في استخدام الأدوات والأنظمة الصحيحة. في كثير من الأحيان ، يكون خط الدفاع الأول في محيط الشبكة في شكل أنظمة كشف التسلل المستندة إلى الشبكة أو NIDS. هذه النظم تحليل حركة المرور القادمة علىشبكة من الإنترنت للكشف عن أي نشاط مشبوه وتنبيهك على الفور. تحظى NIDS بشعبية كبيرة ويتاح الكثير منها من العثور على أفضل ما يلبي احتياجاتك ويمكن أن يكون مسعى صعبًا. لمساعدتك، قمنا بتجميع هذه القائمة لبعض أفضل أنظمة كشف التسلل المستندة إلى الشبكة.


سنبدأ رحلتنا من خلال إلقاء نظرة علىأنواع مختلفة من نظام كشف التسلل. بشكل أساسي ، هناك نوعان: يستند إلى الشبكة ويستند إلى المضيف. سنشرح خلافاتهم. تختلف أنظمة كشف التسلل أيضًا عن طريقة الكشف التي يستخدمونها. يستخدم بعضهم نهجًا يعتمد على التوقيع بينما يعتمد آخرون على التحليل السلوكي. تستخدم أفضل الأدوات مزيجًا من طريقتي الاكتشاف. السوق مشبع بكل من أنظمة كشف التسلل ومنع الاختراق. سنكتشف كيف يختلفون وكيف يتشابهون ، حيث من المهم فهم التمييز. أخيرًا ، سنراجع أفضل أنظمة كشف التسلل القائمة على الشبكة ونقدم أهم ميزاتها.

شبكة مقابل كشف التسلل القائم على المضيف

أنظمة كشف التسلل هي واحدة من اثنينأنواع. يتشارك الاثنان هدفًا متطابقًا ـ للكشف السريع عن محاولات التسلل أو أي نشاط مشبوه يحتمل أن يؤدي إلى محاولات التسلل - لكنهما يختلفان في الموقع الذي تشير إليه نقطة الإنفاذ والتي تشير إلى مكان إجراء الكشف. كل نوع من أداة كشف التسلل له مزايا وعيوب. لا يوجد إجماع حقيقي على أي واحد هو الأفضل. يقسم البعض بنوع واحد بينما يثق البعض الآخر بالآخر. كلاهما ربما على حق. الحل الأفضل - أو الحل الأكثر أمانًا - هو الحل الذي يجمع بين كلا النوعين.

أنظمة كشف التسلل عبر الشبكة (NIDS)

النوع الأول من نظام كشف التسلل هودعا نظام كشف التسلل الشبكة أو NIDS. تعمل هذه الأنظمة على حدود الشبكة لفرض الكشف. إنهم يعترضون ويفحصون حركة مرور الشبكة ، ويبحثون عن أنشطة مشبوهة يمكن أن تشير إلى محاولة اقتحام وكذلك تبحث عن أنماط اقتحام معروفة. يحاول المتسللون غالبًا استغلال الثغرات المعروفة للأنظمة المختلفة ، على سبيل المثال ، إرسال حزم تالفة إلى المضيفين ، مما يجعلهم يتفاعلون بطريقة معينة تسمح لهم بالانتهاك. من المرجح أن يكتشف نظام كشف التسلل الشبكي هذا النوع من محاولات الاقتحام.

يجادل البعض بأن كشف التسلل الشبكةتعتبر الأنظمة أفضل من نظيرتها المستندة إلى المضيف حيث يمكنها اكتشاف الهجمات حتى قبل أن تصل إلى أنظمتك. يميل البعض أيضًا إلى تفضيلهم لأنهم لا يحتاجون إلى تثبيت أي شيء على كل مضيف لحمايتهم بشكل فعال. من ناحية أخرى ، فهي توفر القليل من الحماية ضد الهجمات الداخلية والتي للأسف ليست شائعة على الإطلاق. لكي يتم اكتشافها ، يجب أن تمر محاولة اقتحام المهاجم عبر NIDS الذي نادراً ما يحدث عندما ينشأ من الداخل. أي تقنية لها إيجابيات وسلبيات وهي الحالة المحددة لاكتشاف التسلل ، لا شيء يمنعك من استخدام كلا النوعين من الأدوات للحماية القصوى.

نظم كشف التسلل المضيف (HIDS)

تعمل أنظمة كشف التسلل المضيف (HIDS)على مستوى المضيف ؛ كنت قد خمنت ذلك من اسمهم. سيقومون ، على سبيل المثال ، بمراقبة ملفات السجل والمجلات المختلفة بحثًا عن علامات على نشاط مشبوه. هناك طريقة أخرى يمكنهم من خلالها اكتشاف محاولات التسلل وهي فحص ملفات تكوين النظام بحثًا عن تغييرات غير مصرح بها. يمكنهم أيضًا فحص هذه الملفات نفسها بحثًا عن أنماط اقتحام محددة محددة. على سبيل المثال ، قد يكون من المعروف أن طريقة اقتحام معينة تعمل عن طريق إضافة معلمة معينة إلى ملف تكوين محدد. ومن شأن نظام جيد للكشف عن التسلل القائم على المضيف التقاط ذلك.

على الرغم من أن اسمهم قد يقودك إلى التفكير في ذلكيتم تثبيت جميع HIDS مباشرة على الجهاز الذي تهدف إلى حمايته ، وليس هذا هو الحال بالضرورة. سيحتاج البعض إلى التثبيت على جميع أجهزة الكمبيوتر الخاصة بك بينما سيتطلب البعض تثبيت وكيل محلي فقط. البعض حتى يفعل كل عملهم عن بعد مع عدم وجود وكيل. بغض النظر عن كيفية عملها ، فإن معظم HIDS لديها وحدة تحكم مركزية حيث يمكنك التحكم في كل مثيل للتطبيق وعرض جميع النتائج.

طرق كشف التسلل

لا تختلف أنظمة الكشف عن الاختراق فقطنقطة التطبيق ، فهي تختلف أيضًا بالطريقة التي يستخدمونها للكشف عن محاولات التسلل. بعضها قائم على التوقيع بينما البعض الآخر قائم على الشذوذ. تعمل الأولى من خلال تحليل البيانات لأنماط محددة ترتبط بمحاولات الاقتحام. هذا مشابه لأنظمة الحماية من الفيروسات التقليدية التي تعتمد على تعريفات الفيروسات. يعتمد كشف التسلل المستند إلى التوقيع على تواقيع أو أنماط التسلل. يقارنون البيانات الملتقطة بتوقيعات الاقتحام لتحديد محاولات التسلل. بالطبع ، لن يعملوا إلى أن يتم تحميل التوقيع المناسب على البرنامج الذي لا يمكن أن يحدث في بعض الأحيان إلا بعد أن يتعرض عدد معين من الأجهزة للهجوم ويكون أمام ناشري تواقيع الاختراق الوقت لنشر حزم تحديثات جديدة. بعض الموردين يتسمون بالسرعة ، بينما قد يتفاعل الآخرون بعد أيام فقط. هذا هو العيب الرئيسي لهذا الأسلوب الكشف.

كشف التسلل القائم على الشذوذ يوفر أفضلالحماية ضد هجمات اليوم صفر ، تلك التي تحدث قبل أي برنامج للكشف عن الاختراق قد أتيحت لها فرصة للحصول على ملف التوقيع المناسب. يبحثون عن الحالات الشاذة بدلاً من محاولة التعرف على أنماط الاختراق المعروفة. على سبيل المثال ، شخص ما يحاول الوصول إلى نظام بكلمة مرور خاطئة عدة مرات متتالية من شأنه أن يؤدي إلى تنبيه حيث أن هذه علامة شائعة على هجوم القوة الوحشية. يمكن لهذه الأنظمة اكتشاف أي نشاط مشبوه بسرعة على الشبكة. لكل طريقة اكتشاف مزايا وعيوب ، وكما هو الحال مع نوعي الأدوات ، من المحتمل أن تكون أفضل الأدوات هي تلك التي تستخدم مزيجًا من تحليل التوقيع والسلوك.

الكشف أم الوقاية؟

بعض الناس يميلون إلى الخلط بينأنظمة كشف التسلل ومنع الاختراق. على الرغم من ارتباطها الوثيق ، فهي ليست متطابقة على الرغم من وجود بعض التداخل الوظيفي بين الاثنين. كما يوحي الاسم ، تكشف أنظمة كشف التسلل عن محاولات التسلل والأنشطة المشبوهة. عندما يكتشفون شيئًا ما ، فإنهم عادة ما يطلقون بعض أشكال التنبيه أو الإخطار. الأمر متروك للمسؤولين لاتخاذ الخطوات اللازمة لإيقاف أو منع محاولة الاقتحام.

أنظمة منع التسلل (IPS) تذهب خطوة واحدةأبعد من ذلك ويمكن أن يوقف التطفل من الحدوث تتضمن أنظمة منع الاختراق مكونًا للكشف - مكافئًا وظيفيًا لنظام اكتشاف التسلل - والذي سيؤدي إلى اتخاذ بعض الإجراءات العلاجية التلقائية كلما تم اكتشاف محاولة اقتحام. لا يلزم تدخل بشري لوقف محاولة الاقتحام. يمكن أن تشير منع الاختراق أيضًا إلى أي شيء يتم القيام به أو وضعه في مكانه كوسيلة لمنع الاختراقات. على سبيل المثال ، يمكن اعتبار تصلب كلمة المرور أو تأمين المتطفل من تدابير منع التطفل.

أفضل أدوات كشف التسلل الشبكة

لقد بحثنا في السوق عن الأفضلأنظمة كشف التسلل القائمة على الشبكة. تحتوي قائمتنا على مزيج من أنظمة كشف التسلل الحقيقية المستندة إلى المضيف والبرامج الأخرى التي تحتوي على مكون الكشف عن التسلل المستند إلى الشبكة أو التي يمكن استخدامها للكشف عن محاولات التسلل. يمكن أن تساعد كل أداة من أدواتنا الموصى بها في اكتشاف محاولات التسلل على شبكتك.

1. SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة (عرض تجريبي مجاني)

SolarWinds هو اسم شائع في مجالأدوات إدارة الشبكة. كانت الشركة موجودة منذ حوالي 20 عامًا وقد أتت بنا ببعض أفضل أدوات إدارة الشبكات والأنظمة. منتجها الرئيسي ، مراقبة أداء الشبكة ، يسجل باستمرار بين أفضل أدوات مراقبة النطاق الترددي للشبكة. تقوم SolarWinds أيضًا بصنع أدوات مجانية ممتازة ، تلبي كل منها حاجة محددة لمسؤولي الشبكات. خادم Kiwi Syslog و Advanced Subnet Calculator هما مثالان جيدان على ذلك.

للكشف عن التسلل القائم على الشبكة ، تقدم SolarWinds تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة. على عكس معظم أدوات SolarWinds الأخرى ، هذاواحد هو خدمة المستندة إلى مجموعة النظراء بدلا من البرامج المثبتة محليا. يمكنك ببساطة الاشتراك فيه ، وتكوينه ، ويبدأ بمشاهدة بيئتك لمحاولات الاقتحام وبعض أنواع التهديدات الأخرى. ال تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة يجمع بين العديد من الأدوات. إنه يحتوي على كل من كشف التسلل المستند إلى الشبكة والمضيف وكذلك مركزية السجل والارتباط ، ومعلومات الأمان وإدارة الأحداث (SIEM). إنها مجموعة شاملة لمراقبة التهديدات.

SolarWinds تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة - لوحة القيادة

  • عرض تجريبي مجاني: SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة
  • رابط التحميل الرسمي: https://www.solarwinds.com/threat-monitor/registration

ال تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة دائما ما يصل إلى التاريخ ، باستمرار الحصول على تحديثمعلومات استخبارية عن التهديدات من مصادر متعددة ، بما في ذلك قواعد بيانات IP وسمعة المجال إنه يراقب كل من التهديدات المعروفة وغير المعروفة. تتميز الأداة باستجابات ذكية تلقائية لإصلاح حوادث الأمان بسرعة مما يوفر لها بعض الميزات الشبيهة بمنع التسلل.

ميزات المنتج التنبيه تمامامحرج. توجد إنذارات متعددة الشرط ومترابطة عبر بعضها البعض تعمل مع محرك الاستجابة النشطة للأداة وتساعد في تحديد الأحداث الهامة وتلخيصها. نظام الإبلاغ بنفس جودة التنبيه ويمكن استخدامه لإثبات الامتثال باستخدام قوالب التقارير المعدة مسبقًا. بدلاً من ذلك ، يمكنك إنشاء تقارير مخصصة لتناسب احتياجات عملك بدقة.

أسعار ل SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة تبدأ من 4 500 دولار لمدة تصل إلى 25 العقد مع 10 أياممن الفهرس. يمكنك الاتصال بـ SolarWinds للحصول على عرض أسعار مفصل مُناسب لاحتياجاتك المحددة. إذا كنت تفضل رؤية المنتج قيد التنفيذ ، يمكنك طلب عرض توضيحي مجاني من SolarWinds.

2. تذمر

تذمر هو بالتأكيد أفضل NIDS مفتوح المصدر. لكن تذمر هو في الواقع أكثر من مجرد أداة كشف التسلل. إنه أيضًا حزمة شم ومسجل حزمة ، كما أنه يحتوي على وظائف أخرى قليلة. في الوقت الحالي ، سنركز على ميزات اكتشاف التسلل الخاصة بالأداة لأن هذا هو موضوع هذا المنشور. تكوين المنتج يذكرنا بتكوين جدار الحماية. تم تكوينه باستخدام القواعد. يمكنك تنزيل القواعد الأساسية من تذمر الموقع واستخدامها كما هي أو تخصيصها لاحتياجاتك المحددة. يمكنك أيضا الاشتراك في تذمر قواعد للحصول على أحدث القواعد تلقائيًا عند تطورها أو اكتشاف تهديدات جديدة.

الشخير معرفات وحدة التحكم على ويندوز

فرز دقيق جدا وحتى قواعده الأساسية يمكناكتشاف مجموعة واسعة من الأحداث مثل عمليات فحص منفذ التسلل ، وهجمات تجاوز سعة المخزن المؤقت ، وهجمات CGI ، وتحقيقات SMB ، وبصمات نظام التشغيل. لا يوجد حد فعليًا لما يمكنك اكتشافه باستخدام هذه الأداة وما تعتمده فقط يعتمد على القاعدة التي تقوم بتثبيتها. بالنسبة لطرق الكشف ، تعتمد بعض قواعد Snort الأساسية على التوقيع ، بينما تعتمد قواعد أخرى على الوضع الشاذ. وبالتالي ، يمكن أن يوفر لك Snort أفضل ما في العالمين.

3. Suricata

Suricata ليس فقط نظام كشف التسلل. كما أن لديها بعض ميزات منع الاختراق. في الواقع ، يتم الإعلان عنها كنظام بيئي كامل لمراقبة أمن الشبكة. واحدة من أفضل أصول الأداة هي كيف تعمل طوال الطريق حتى طبقة التطبيق. هذا يجعله نظامًا مختلطًا قائمًا على الشبكة والمضيف يتيح للأداة اكتشاف التهديدات التي من المحتمل أن تمر دون أن تلاحظها أدوات أخرى.

لقطة للشاشة Suricata

Suricata هو كشف التسلل الحقيقي القائم على الشبكةالنظام ولا يعمل فقط في طبقة التطبيق. ستراقب بروتوكولات الشبكات ذات المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تقوم الأداة أيضًا بفهم وفك تشفير البروتوكولات ذات المستوى الأعلى مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التسلل المخفية في الطلبات العادية. تتميز الأداة أيضًا بقدرات استخراج الملفات مما يسمح للمسؤولين بفحص أي ملف مشبوه.

Suricataبنية التطبيق مبتكرة للغاية. ستقوم الأداة بتوزيع عبء العمل على العديد من مراكز المعالجة والخيوط للحصول على أفضل أداء. إذا لزم الأمر ، يمكن أن تفريغ بعض معالجتها إلى بطاقة الرسومات. هذه ميزة رائعة عند استخدام الأداة على الخوادم حيث أن بطاقة الرسومات الخاصة بهم لا تستخدم بشكل جيد.

4. أخ شبكة مراقبة الأمن

ال إخوانه شبكة مراقبة الأمن، آخر نظام كشف التسلل الشبكة الحرة. تعمل الأداة على مرحلتين: تسجيل حركة المرور وتحليل حركة المرور. تماما مثل سوريكاتا ، إخوانه شبكة مراقبة الأمن يعمل في طبقات متعددة حتى طبقة التطبيق. هذا يسمح للكشف عن أفضل محاولات التسلل. ال إخوانه شبكة مراقبة الأمنتتكون وحدة التحليل من عنصرين. يسمى العنصر الأول مشغل الحدث ويتتبع أحداث التشغيل مثل اتصالات TCP أو طلبات HTTP. ثم يتم تحليل الأحداث عن طريق البرامج النصية للسياسة ، والعنصر الثاني ، الذي يقرر ما إذا كان سيتم تشغيل إنذار أو عدم تشغيله أم لا. إمكانية إطلاق عمل يعطي إخوانه شبكة مراقبة الأمن بعض الوظائف الشبيهة بـ IPS.

إخوانه شبكة Secirity مراقب - معرفات لقطة

ال إخوانه شبكة مراقبة الأمن سيتيح لك تتبع نشاط HTTP و DNS و FTPوسوف تراقب أيضا حركة مرور SNMP. هذا شيء جيد لأن SNMP غالبًا ما يستخدم لمراقبة الشبكة ولكنه ليس بروتوكولًا آمنًا. ونظرًا لأنه يمكن استخدامه أيضًا لتعديل التكوينات ، يمكن استغلاله من قِبل المستخدمين الضارين. ستتيح لك الأداة أيضًا مشاهدة تغييرات تكوين الجهاز و SNMP Traps. يمكن تثبيته على أنظمة التشغيل Unix و Linux و OS X ولكنه غير متوفر لنظام التشغيل Windows ، والذي ربما يكون العيب الرئيسي.

5. البصل الأمن

من الصعب تحديد ما البصل الأمن يكون. إنه ليس مجرد نظام للكشف عن التطفل أو الوقاية منه. إنه ، في الواقع ، توزيع كامل لنظام Linux مع التركيز على اكتشاف التسلل ومراقبة أمان المؤسسة وإدارة السجل. على هذا النحو ، يمكن أن يوفر للمسؤولين الكثير من الوقت. يتضمن العديد من الأدوات ، التي قمنا بمراجعتها للتو. يشمل Security Onion Elasticsearch و Logstash و Kibana و Snort و Suricata و Bro و OSSEC و Sguil و Squert و NetworkMiner وغيرها. لتسهيل إعداد كل شيء ، يتم توزيع التوزيع مع معالج إعداد سهل الاستخدام ، مما يتيح لك حماية مؤسستك في غضون دقائق. إذا كان لدينا لوصف البصل الأمن في جملة واحدة ، يمكن أن نقول أنها سكين الجيش السويسري لأمن تكنولوجيا المعلومات للشركات.

بصل الأمان - علامة تبويب الأحداث

واحدة من الأشياء الأكثر إثارة للاهتمام حول هذا الموضوعالأداة هي أن تحصل على كل شيء في تثبيت واحد بسيط. بالنسبة لـ Intrusion Detection ، تمنحك الأداة أدوات الكشف عن التطفل المستندة إلى الشبكة والمضيف. تجمع الحزمة أيضًا بين الأدوات التي تستخدم النهج المستند إلى التوقيع والأدوات المستندة إلى الحالات الشاذة. علاوة على ذلك ، ستجد مجموعة من الأدوات القائمة على النص وأدوات واجهة المستخدم الرسومية. يوجد بالفعل مزيج ممتاز من أدوات الأمان. يوجد عيب رئيسي واحد في أمان البصل. مع وجود العديد من الأدوات المضمّنة ، يمكن أن يصبح تكوينها جميعًا مهمة كبيرة. ومع ذلك ، ليس عليك استخدام وتكوين جميع الأدوات. أنت حر في اختيار فقط تلك التي يمكنك استخدامها. حتى لو كنت تستخدم فقط اثنين من الأدوات المضمنة ، فمن المرجح أن يكون خيارًا أسرع من تثبيتها بشكل منفصل.

اقرأ ايضا

ما هي شبكة الشم وما هي المستخدمة؟
ContaCam: إنشاء نظام مراقبة مع كاميرات الويب ، WDM و DV
مراقبة الحركة - تحويل كاميرا الويب إلى كاميرا الأمن كشف الحركة
SolarWinds سجل & مدير الأحداث مقابل Splunk - استعراض مقارن
أحصنة طروادة الوصول عن بعد (RATs) - ما هي وكيفية حماية ضدهم؟
6 أفضل أنظمة كشف التسلل المستندة إلى المضيف (HIDS) في عام 2019
7 أفضل أنظمة منع الاختراق (IPS) لعام 2019
6 أفضل أدوات المعلومات الأمنية وإدارة الأحداث (SIEM) تستحق المراجعة في عام 2019
14 أفضل أدوات أمان الشبكة للبيئات الأكثر أمانًا في 2019
أفضل 10 أدوات لكشف التسلل: أفضل خياراتك المجانية لعام 2019
الدليل النهائي لأمن الشبكات - بما في ذلك الأدوات الأساسية
إضافة موافق Google Detection إلى جميع الشاشات على جهازك [بدون الجذر]

تعليقات