دراسة تقييميّة على الأدوات المعتمدة على تحليل حركة المرور الشّبكي في كشف الاقتحامات
الكلمات المفتاحية:
تحليل المرور الشّبكي، نظم كشف الاقتحامات، القنوات المخفيّةالملخص
ازداد اهتمام مشغّلي الشّبكات ومزوّدي الخدمات الشّبكيّة بتحليل المرور الشّبكي بشكل كبير خلال العقد الماضي، ويُعدّ تحليل المرور الشّبكي وسيلة لفحص البيانات أثناء تدفّقها عبر الشّبكة. وبعبارة أخرى، فإنّ تحليل المرور الشّبكي هو إجراء تقوم به إدارة الشّبكة لفحص
البيانات التي تخصّ مستخدمي الشّبكة بهدف تحليلها، ومعالجة الازدحام في الشّبكة، والقيام بعمليات إحصائيّة، ومراقبة سلوك المستخدمين، والكشف عن الهجمات. ودرءاً من الأعمال التّخريبيّة، فقد تمّ توظيف تحليل المرور الشّبكي في نظم الكشف عن الاقتحامات، والتي تعتمد على تحليل المرور الشّبكي أوّلاً، وثانياً البحث عن مؤشّرات وأدلّة الاقتحامات والتي قد يكون أحد هذه المؤشّرات هو البحث عن أنماط المرور الشّبكي الشّاذّة عن الأنماط المعروفة.
إنّ الكشف عن مؤشّرات الهجوم ليس مهمّة سهلة، وتزداد صعوبة بوجود التّطبيقات الحديثة كتطبيقات التّواصل الاجتماعي التي تهتم بالخصوصيّة وتحافظ على سرّية البيانات المنقولة، ووجود الأقنية المخفيّة التي تسمح بتسريب البيانات والتي قد يكون من ضمنها برمجيّات خبيثة، والتي غالباً ما يتمّ تجاهلها من قبل أنظمة الكشف عن الاقتحام المعروفة. نتيجة لذلك تُعدّ دراسة أدوات تحليل المرور الشّبكي وتقييم فعالية وأداء أنظمة الكشف عن الاقتحامات مهمّان بالنسبة لمشغّلي الشّبكات كخطوة أولى في اختيار النّظام المناسب، وتالياً تطوير النّظام الموجود لديهم.
جرى في هذا البحث دراسة لبعض أدوات تحليل المرور الشّبكي مثل: TCPDump, Wireshark، وتقييماً لنظاميّ كشف الاقتحامات: Snort و Suricata من ناحية: كشف الهجمات المختلفة التي تستهدف سرّيّة وسلامة وإتاحيّة البيانات والموارد الحاسوبيّة بما فيها هجمات القنوات المخفيّة؛ توزيع الحمل على نُوى المعالجة؛ استنزاف الموارد الحاسوبيّة؛ قدرة نظم الكشف على استقبال الطّرود الشّبكيّة ومعالجتها، وإسقاط الطّرود والتّنبيهات؛ بالإضافة لدراسة إمكانيّة تحسين تلك الأنظمة.