IDS vs IPS
IDS (įsilaužimų aptikimo sistema) yra sistemos, kurios tinkle aptinka netinkamą, neteisingą ar anomalią veiklą ir apie tai praneša. Be to, IDS gali būti naudojamas aptikti, ar tinklas ar serveris patiria neteisėtą įsibrovimą. IPS (Intrusion Prevention System) yra sistema, kuri aktyviai atjungia ryšius arba numeta paketus, jei juose yra neleistinų duomenų. IPS gali būti laikomas IDS plėtiniu.
IDS
IDS stebi tinklą ir aptinka netinkamą, neteisingą ar nenormalią veiklą. Yra du pagrindiniai IDS tipai. Pirmasis yra tinklo įsilaužimo aptikimo sistema (NIDS). Šios sistemos tiria srautą tinkle ir stebi kelis pagrindinius kompiuterius, kad nustatytų įsilaužimus. Jutikliai naudojami srautui tinkle užfiksuoti, o kiekvienas paketas analizuojamas siekiant nustatyti kenkėjišką turinį. Antrasis tipas yra pagrindinio kompiuterio įsilaužimo aptikimo sistema (HIDS). HIDS yra diegiamos pagrindiniuose kompiuteriuose arba serveryje. Jie analizuoja vietinius įrenginio duomenis, pvz., sistemos žurnalo failus, audito pėdsakus ir failų sistemos pakeitimus, kad nustatytų neįprastą elgesį. HIDS palygina įprastą šeimininko profilį su stebima veikla, kad nustatytų galimas anomalijas. Daugumoje vietų IDS įdiegti įrenginiai yra tarp ribinio maršruto parinktuvo ir ugniasienės arba išorinio maršrutizatoriaus išorėje. Kai kuriais atvejais IDS įdiegti įrenginiai yra už užkardos ir ribinio maršruto parinktuvo ribų, siekiant pamatyti visą atakų bandymų plotį. Našumas yra pagrindinė IDS sistemų problema, nes jos naudojamos su didelio pralaidumo tinklo įrenginiais. Net naudojant didelio našumo komponentus ir atnaujintą programinę įrangą, IDS linkę atsisakyti paketų, nes negali susidoroti su dideliu pralaidumu.
IPS
IPS yra sistema, kuri aktyviai imasi veiksmų užkirsti kelią įsibrovimui ar atakai, kai ją identifikuoja. IPS skirstomi į keturias kategorijas. Pirmasis yra tinkle pagrįsta įsilaužimo prevencija (NIPS), kuri stebi visą tinklą, ar nėra įtartinos veiklos. Antrasis tipas yra tinklo elgsenos analizės (NBA) sistemos, kurios tiria srautą, kad nustatytų neįprastus srautus, kurie gali būti atakos, pvz., paskirstytojo paslaugų atsisakymo (DDoS), pasekmė. Trečioji rūšis yra belaidžio įsilaužimo prevencijos sistemos (WIPS), kuri analizuoja belaidžius tinklus, ar nėra įtartino srauto. Ketvirtasis tipas yra Host-based Intrusion Prevention Systems (HIPS), kur įdiegtas programinės įrangos paketas, skirtas stebėti vieno pagrindinio kompiuterio veiklą. Kaip minėta anksčiau, IPS imasi aktyvių veiksmų, pvz., atmeta paketus, kuriuose yra kenkėjiškų duomenų, iš naujo nustato arba blokuoja srautą, gaunamą iš pažeidžiančio IP adreso.
Kuo skiriasi IPS ir IDS?
IDS yra sistema, kuri stebi tinklą ir aptinka netinkamą, neteisingą ar anomalią veiklą, o IPS yra sistema, kuri aptinka įsibrovimą ar ataką ir imasi aktyvių veiksmų, kad joms užkirstų kelią. Pagrindinė pagarba tarp šių dviejų skiriasi nuo IDS, IPS aktyviai imasi veiksmų, kad užkirstų kelią aptiktiems įsilaužimams arba juos blokuotų. Šie prevenciniai veiksmai apima tokias veiklas kaip kenkėjiškų paketų atsisakymas ir srauto, gaunamo iš kenkėjiškų IP adresų, nustatymas iš naujo arba blokavimas. IPS gali būti laikomas IDS plėtiniu, kuris turi papildomų galimybių užkirsti kelią įsilaužimams juos aptinkant.
