پایگاه دانش

آنتی‌ویروس تحت شبکه چیست و چه ویژگی‌هایی دارد؟

آنتی‌ویروس تحت شبکه (Network-based Antivirus) یا همان NVA، یک ساز و کار امنیتی است که در سطح شبکه عمل می‌کند و برای تشخیص و پیشگیری از تهدیدات بدافزاری استفاده می‌شود. در شرایطی که آنتی‌ویروس‌های سنتی رویکرد مشخصی دارند و هنگامی که روی سیستم‌های میزبان (Host-based) نصب می‌شوند قادر به انجام برخی کارهای مشخص هستند، آنتی‌ویروس‌های تحت شبکه که در بیشتر موارد از آنتی‌ویروس‌های نسل بعدی هستند، عملکردی فراتر از ارزیابی بسته‌های ورودی و خروجی به شبکه دارند و مجهز به انواع مختلفی از مولفه‌های امنیتی هستند.

آنتی‌ویروس تحت شبکه چه قابلیت‌هایی دارد؟

آنتی‌ویروس تحت شبکه از طریق مانیتورینگ ترافیک شبکه، تحلیل پروتکل‌ها و شناسایی الگوهای مشخص و شبیه‌سازی‌های مختلف، سعی در شناسایی و از بین بردن تهدیدات مخرب مانند بدافزارها، ویروس‌ها، کرم‌ها و تروجان‌ها دارد. این سیستم‌ها می‌توانند به صورت مستقل درون شبکه عمل کنند یا به عنوان بخشی از تجهیزات شبکه مانند فایروال‌ها، سوئیچ‌ها یا سیستم‌های تشخیص نفوذ (Intrusion Detection System) مورد استفاده قرار گیرند. همان‌گونه که اشاره کردیم، یک آنتی‌ویروس تحت شبکه نسل بعدی، متشکل از مولفه‌های مختلفی است که به مقابله با تهدیدات بدافزاری می‌پردازند. اولین مورد تشخیص ویروس‌ها است. با استفاده از الگوریتم‌ها، الگوهای مشخص و روش‌های تحلیلی، آنتی‌ویروس تحت شبکه تلاش می‌کند تا ویروس‌ها و بدافزارهای مخرب را شناسایی کند. زمانی که یک تهدید ویروسی شناسایی می‌شود، آنتی‌ویروس تحت شبکه می‌تواند به صورت خودکار یا با هشدار به مدیر شبکه اقدام به مسدودسازی تهدید کند. این مسدودسازی می‌تواند شامل قطع ارتباط، قطع اتصال دستگاه‌های آلوده با شبکه و موارد این چنین باشد. در برخی از محصولات، آنتی‌ویروس تحت شبکه ترافیک شبکه را مانیتور کند و به دنبال الگوهای ناهنجار و فعالیت‌های خطرناک می‌گردد. به همین دلیل است که بسیاری از سازمان‌ها به سراغ خرید این مدل از ضدویروس‌ها می‌روند.

نکته مهمی که باید در ارتباط با آنتی‌ویروس تحت شبکه به آن دقت کنید به‌روزرسانی و مدیریت است. آنتی‌ویروس تحت شبکه نیازمند  به‌روزرسانی مرتب است تا بتواند با آخرین الگوها و تهدیدات ویروسی مقابله کند. در بیشتر موارد این فرآیند به شکل خودکار انجام می‌شود و نیازی به انجام کار خاصی نیست، اما اگر فرآیند به‌روزرسانی را غیرفعال کرده‌اید، توصیه می‌کنیم که آن‌را خودکار کنید تا مشکلی برای زیرساخت به وجود نیاید. آنتی‌ویروس تحت شبکه نقش مهمی در تسهیل امنیت زیرساخت دارد، زیرا در بخش مرکزی شبکه سازمانی قرار می‌گیرد و توانایی شناسایی و مسدودسازی تهدیدات در همان مرحله اولیه را دارد، قبل از آن‌که تهدیدات به دستگاه‌های میزبان مثل سرورها برسد. راهکار فوق نقش مهمی در مقابله با تهدیدات نفوذی دارد و به کارشناسان شبکه و امنیت اجازه می‌دهد در کوتاه‌ترین زمان موارد مشکوک امنیتی را شناسایی کنند.

آنتی‌ویروس تحت شبکه چگونه کار می‌کند؟

آنتی‌ویروس تحت شبکه برای تشخیص و مقابله با تهدیدات بدافزاری در سطح شبکه عمل می‌کند. روش کار آنتی‌ویروس تحت شبکه ممکن است بسته به معماری سازمانی متفاوت باشد. با این حال، عملکرد کلی آنتی‌ویروس تحت شبکه به صورت زیر است:

  • مانیتورینگ ترافیک شبکه: آنتی‌ویروس تحت شبکه وظیفه نظارت بر ترافیک شبکه را از طریق بررسی بسته‌های داده‌ای (پیام‌ها، فایل‌ها و غیره) بر عهده دارد. این ترافیک ممکن است از طریق سوئیچ‌ها، روترها، فایروال‌ها و سایر تجهیزات شبکه عبور کند.
  • تحلیل پروتکل‌های شبکه: آنتی‌ویروس تحت شبکه پروتکل‌ها را تحلیل می‌کند تا الگوهای مشخص در ترافیک شبکه را شناسایی کند. این الگوها ممکن است شامل الگوهای رفتاری مشکوک، الگوهای رفتاری بدافزارها، الگوهای مربوط به عملکرد ویروس‌ها و سایر تهدیدات باشد.
  • به‌کارگیری مکانیزم بازرسی هوشمند: آنتی‌ویروس‌های تحت شبکه از مکانیزم بازرسی هوشمند (Intelligent Inspection) استفاده می‌کنند. به بیان دقیق‌تر، از الگوریتم‌های پیشرفته و هوش‌محور برای تشخیص تهدیدات ویروسی و مخرب استفاده می‌کنند. این الگوریتم‌ها بر مبنای الگوهای، فعالیت‌های مشکوک، امضاهای دیجیتال و سایر شاخص‌ها عمل کنند.
  • شناسایی ویروس‌ها و تهدیدات: با تحلیل ترافیک شبکه و استفاده از بازرسی‌های هوشمند، آنتی‌ویروس تحت شبکه تهدیدات را شناسایی می‌کند. این فرآیند شامل شناسایی فایل‌های آلوده، ترافیک ناهنجار، الگوهای شناخته شده و موارد این چنینی است.
  • مسدودسازی و پیشگیری: پس از شناسایی تهدیدات، آنتی‌ویروس تحت شبکه می‌تواند به صورت خودکار تهدیدات را مسدود یا اقدامات پیشگیرانه انجام دهد. به‌طور مثال، می‌تواند ارتباط با یک سرور مشکوک را قطع کند، فایل‌های آلوده را به قرنطینه بگیرد یا به مدیر شبکه یا کاربران مربوطه اطلاع دهد.
  • به‌روزرسانی بانک‌های اطلاعاتی: آنتی‌ویروس تحت شبکه برای شناسایی ویروس‌ها و تهدیدات جدید نیازمند به‌روزرسانی مداوم است. برای این منظور، برخی آنتی‌ویروس‌ها به‌شکل خودکار به بانک‌های اطلاعاتی شناخته شده متصل می‌شوند تا جدیدترین جزییات فنی در ارتباط با تهدیدات را جمع‌آوری کنند. این به‌روزرسانی‌ها می‌توانند به صورت خودکار انجام شوند یا به صورت دستی توسط مدیر شبکه اعمال شوند.

آنتی‌ویروس خانگی و تحت شبکه چه تفاوتی با یک‌دیگر دارند؟

تفاوت اصلی آنتی‌ویروس خانگی و تحت شبکه در نحوه نصب و محیطی است که روی آن عمل می‌کنند. از تفاوت‌های این دو مدل به موارد زیر باید اشاره کرد:

آنتی‌ویروس خانگی روی دستگاه شخصی مثل کامپیوترهای شخصی، لپ‌تاپ‌ها و تجهیزات اندویدی نصب شده و روی دستگاه کاربر اجرا می‌شود. این نوع آنتی‌ویروس در محیط خانگی و برای استفاده شخصی توسط کاربران عادی طراحی شده است. آنتی‌ویروس خانگی عمدتا بر فایل‌ها و برنامه‌های ذخیره شده در دستگاه را اسکل می‌کند و توسط کاربران دانلود و به طور مستقیم روی سیستم آن‌ها نصب و فرآیند اسکن را انجام می‌دهد. برای اطمینان از کارکرد بهینه، آنتی‌ویروس خانگی باید به‌روزرسانی‌های مداوم دریافت کند.

در نقطه مقابل آنتی‌ویروس تحت شبکه فرآیند نصب مرکزی دارد. به بیان دقیق‌تر در سطح شبکه عمل می‌کند و بر روی سرورهای شبکه نصب می‌شود. این نوع آنتی‌ویروس برای محیط‌های سازمانی و شبکه‌های بزرگ طراحی شده است. آنتی‌ویروس تحت شبکه ترافیک شبکه را مانیتور کرده تا بتواند تهدیدات ویروسی را شناسایی می‌کند. این فرآیند شامل تحلیل پروتکل‌ها، شناسایی الگوهای مشکوک و اعمال فیلترهای شبکه است. آنتی‌ویروس‌های تحت شبکه در سرورهای مرکزی به‌روزرسانی می‌شود، بنابراین امنیت شبکه به میزان قابل توجهی افزایش پیدا می‌کند. به طور کلی، آنتی‌ویروس تحت شبکه برای محیط‌های سازمانی و شبکه‌های بزرگ مناسب است، زیرا قادر به پوشش طیف گسترده‌تری از دستگاه‌ها و ترافیک شبکه است. در مقابل، آنتی‌ویروس خانگی برای استفاده شخصی و در محیط خانگی مناسب است و تمرکز بیشتری روی فایل‌های محلی و کاربران خاص دارد.

آنتی‌ویروس سازمانی

آنتی‌ویروس سازمانی نوع دیگری از آنتی‌ویروس است که برای استفاده در سازمان‌ها و محیط‌های کسب و کار طراحی شده است. این نوع آنتی‌ویروس برای محافظت از شبکه‌ها، سرویس‌ها و دستگاه‌های سازمانی در برابر تهدیدات امنیتی مختلف مانند ویروس‌ها، بدافزارها، تروجان‌ها و انواع حملات دیگر استفاده می‌شود. آنتی‌ویروس سازمانی یکسری ویژگی‌های خاص دارد. اولین مورد پوشش گسترده است. آنتی‌ویروس سازمانی را می‌توان بر روی تمام دستگاه‌ها و سرویس‌های موجود در سازمان از جمله سرورها، رایانه‌ها، لپتاپ‌ها، تلفن‌های هوشمند و دستگاه‌های جانبی نصب کرد تا تهدیدات امنیتی در سراسر شبکه سازمانی به شکل دقیق‌تری تشخیص داده شوند.

مورد بعدی در ارتباط با مدیریت مرکزی است.  آنتی‌ویروس سازمانی اجازه می‌دهد از طریق یک مکانیزم مدیریت مرکزی تمامی نصب‌ها، تنظیمات و به‌روزرسانی‌ها مدیریت شوند تا مدیران اطلاعاتی (IT) بتوانند تا به‌روزرسانی‌ها و سیاست‌های امنیتی را به صورت مرکزی اعمال کنند. مورد بعد در ارتباط با شناسایی و برطرف کردن تهدیدات است. آنتی‌ویروس سازمانی قابلیت شناسایی و مقابله با تهدیدات امنیتی را دارد که شامل تشخیص و حذف ویروس‌ها، بدافزارها، تروجان‌ها، کرم‌ها و سایر بدافزارهای مشابه است.

آنتی‌ویروس سازمانی قادر است به صورت فعال به مدیریت حملات امنیتی پرداخته و تلاش می‌کند مانع بروز حملات سایبری شود. در ارتباط با آنتی‌ویروس سازمانی باید به این نکته اشاره داشتیم که این محصولات امنیتی باید به‌روزرسانی مداوم دریافت کنند تا بتوانند با تهدیدات ویروسی جدید مقابله کند. این به‌روزرسانی‌ها شامل آپدیت بانک اطلاعات از ویروس‌ها، امضاهای جدید و الگوریتم‌های شناسایی است. نکته دیگری که باید در ارتباط با آنتی‌ویروس سازمانی به آن دقت کنید قابلیت انطباق با نیازها و سیاست‌های امنیتی سازمان است که شامل تنظیمات سفارشی، مدیریت قوانین و سیاست‌های امنیتی و امکانات مربوط به تجزیه و تحلیل گزارش‌ها است. همچنین، آنتی‌ویروس سازمانی باید قابلیت تشخیص و مقابله با تهدیدات پیشرفته مانند حملات صفرروز، اسکریپت‌های مخرب، فیشینگ و رمزنگاری مخرب را داشته باشد.

الگوریتم‌ها و الگوهای تشخیصی استفاده شده در آنتی‌ویروس تحت شبکه به چه صورتی عمل می‌کنند؟

الگوریتم‌ها و الگوهای تشخیصی استفاده شده در آنتی‌ویروس تحت شبکه برای تشخیص ویروس‌ها و تهدیدات امنیتی متنوعی استفاده می‌شوند. برخی از آن‌ها به شرح زیر هستند:

  • الگوریتم‌های بر پایه امضا (Signature-based Algorithms): در این روش، الگوریتم‌ها بر اساس الگوهای خاصی که برای هر نوع ویروس یا بدافزار تعریف شده است، فایل‌ها و ترافیک شبکه را اسکن می‌کنند. این الگوریتم‌ها با استفاده از مقایسه امضاهای شناخته شده با امضاهای فایل‌ها و ترافیک، تهدیدات را شناسایی می‌کنند. یکی از معایب این روش، نیاز به به‌روزرسانی مداوم امضاها است.
  • الگوریتم‌های بر پایه رفتار (Behavior-based Algorithms): این الگوریتم‌ها به جای بررسی الگوهای خاص، رفتار ویروس‌ها و بدافزارها را تحلیل می‌کنند. آنها از تغییرات و رفتار غیرمعمول فایل‌ها و فرآیندها برای تشخیص تهدیدات استفاده می‌کنند. این الگوریتم‌ها می‌توانند ویروس‌های تازه و ناشناخته را نیز شناسایی کنند، اما ممکن است به شکل غیر دقیق نتایجی ارائه کنند.
  • الگوریتم‌های بر پایه هیوریستیک (Heuristic-based Algorithms): این الگوریتم‌ها بر اساس الگوها، روش‌ها و قوانین احتمالی تشخیص تهدیدات را انجام می‌دهند. آنها از قوانین و الگوهای آماری و احتمالی برای شناسایی الگوهای مشترک و رفتارهای مشکوک استفاده می‌کنند. این روش می‌تواند به تشخیص ویروس‌های جدید کمک کند، اما ممکن است نتایج نادقیقی تولید کند و به عنوان خطای نادراستفاده‌کننده (False Positive) معروف باشد.
  • الگوریتم‌های بر پایه یادگیری ماشین (Machine Learning-based Algorithms): این الگوریتم‌ها از الگوریتم‌های یادگیری ماشین مانند شبکه‌های عصبی، درخت تصمیم و ماشین بردار پشتیبان استفاده می‌کنند تا الگوهای تهدیدات را شناسایی کنند. برای آموزش این الگوریتم‌ها، از داده‌های آموزشی که حاوی نمونه‌های مثبت (نمونه‌هایی که حاوی تهدیدات هستند) و نمونه‌های کاذب  (نمونه‌هایی که بدون تهدید هستند) استفاده می‌شود. پس از آموزش، الگوریتم‌ها قادر به تشخیص تهدیدات جدید و ناشناخته با استفاده از الگوهایی که در فرآیند آموزش یافته‌اند، می‌باشند.

این الگوریتم‌ها و الگوهای تشخیصی می‌توانند به صورت جداگانه یا به صورت ترکیبی در یک آنتی‌ویروس تحت شبکه استفاده شوند. همچنین، برخی از روش‌های پیشرفته مانند یادگیری عمیق (Deep Learning) نیز ممکن است در آنتی‌ویروس تحت شبکه به کار گرفته شوند.

آنتی‌ویروس تحت شبکه چه ویژگی‌هایی باید داشته باشد؟

اولین مورد تشخیص ویروس‌ها و بدافزارها است. آنتی‌ویروس تحت شبکه باید قابلیت شناسایی و تشخیص ویروس‌ها، بدافزارها و تهدیدات امنیتی دیگر را داشته باشد. این فرآیند شامل استفاده از الگوریتم‌ها و الگوهای تشخیصی برای تحلیل ترافیک شبکه و تشخیص نشانه‌های مشخصه تهدیدات است. مورد بعد سرعت عمل است. یک آنتی‌ویروس تحت شبکه باید بر روی ترافیک شبکه به صورت لحظه‌ای و به سرعت عمل کند، زیرا ترافیک شبکه ممکن است بسیار پیچیده باشد و نیاز به تشخیص سریع تهدیدات امنیتی دارد.

  • اسکن درون‌زمینه (Background Scanning): آنتی‌ویروس تحت شبکه باید بتواند ترافیک شبکه را به صورت مداوم و در پس زمینه اسکن کند، بدون ایجاد تاخیر قابل توجه در عملکرد شبکه. این ویژگی امکان تشخیص و رفع تهدیدات بدون نیاز به دخالت کاربر را فراهم می‌کند.

بهترین آنتی‌ویروس‌های تحت شبکه

هنگام انتخاب یک آنتی‌ویروس تحت شبکه، باید به عوامل زیادی توجه کنید از جمله قابلیت‌ها، کارایی، قابلیت هماهنگی با زیرساخت شبکه و قابلیت ارائه پشتیبانی مناسب. بر همین اساس در ادامه به معرفی چند مورد از آنتی‌ویروس‌های تحت شبکه معتبر می‌پردازیم.

  • Cisco Advanced Malware Protection (AMP) for Networks: این آنتی‌ویروس تحت شبکه توسط شرکت سیسکو ارائه می‌شود و قابلیت شناسایی و حذف تهدیدات امنیتی را دارد. از قابلیت‌های آن می‌توان به شناسایی و حذف بدافزارها، رمزنگاری ترافیک، و تحلیل رفتار فایل‌ها اشاره کرد.
  • Symantec Endpoint Protection: توسط شرکت سیمانتک ارائه می‌شود و قابلیت‌های متنوعی را برای تشخیص و جلوگیری از تهدیدات امنیتی فراهم می‌کند. از قابلیت‌های آن می‌توان به شناسایی و حذف بدافزارها، پیشگیری از حملات فیشینگ و مدیریت مرکزی اشاره کرد.
  • McAfee Network Security Platform: همانند نمونه‌های یادد شده قابلیت‌هایی مانند شناسایی حملات شناخته شده و ناشناخته، جلوگیری از حملات جستجوی فراگیر و تحلیل رفتار شبکه را فراهم می‌کند.
  • Fortinet FortiGate: یک راهکار یکپارچه امنیتی است که شامل آنتی‌ویروس تحت شبکه نیز می‌شود. این راهکار امکاناتی مانند شناسایی و مسدودسازی تهدیدات امنیتی، بررسی ترافیک شبکه و بررسی پروتکل‌های شبکه را فراهم می‌کند.
  • Trend Micro Deep Security: مجموعه‌ای از ابزارهای امنیتی را در اختیار شما قرار می‌دهد که شامل شناسایی تهدیدات امنیتی، محافظت از سرورها و ماشین‌های مجازی و کنترل دسترسی به برنامه‌ها و سرویس‌ها است.

موارد اخیر

برترین ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *