المراقبة بحثاً عن الخبث: IDS

يقوم جدار الحماية بالحظر بناءً على قواعد؛ أما نظام IDS (Intrusion Detection System) فيراقب حركة المرور بنشاط بحثاً عن نشاط مشبوه أو تواقيع هجوم معروفة.

أنواع IDS

1. IDS القائم على الشبكة (NIDS): يراقب حركة المرور عبر جزء الشبكة بالكامل (مثلاً باستخدام mirror port على المحول switch).

   • مثال لأداة: Snort، Suricata.

2. IDS القائم على المضيف (HIDS): يعمل على الخوادم أو محطات العمل الفردية، ويراقب استدعاءات النظام، وسلامة الملفات، وملفات السجلات.

   • مثال لأداة: OSSEC.

طرق الكشف

• الكشف القائم على التوقيع (Signature-based): يقارن حركة المرور بقاعدة بيانات لأنماط الهجوم المعروفة (التواقيع). دقة عالية للتهديدات المعروفة، لكنه يفشل ضد هجمات اليوم الصفر (zero-day).
• الكشف القائم على الشذوذ (Anomaly-based): يضع خط أساس لسلوك الشبكة الطبيعي. ينبه عندما تنحرف حركة المرور بشكل كبير عن هذا المعيار. فعال ضد التهديدات غير المعروفة، ولكنه عرضة للتنبيهات الكاذبة (false positives).