IDS vs IPS
IDS (Intrusion Detection System) şəbəkədə qeyri-münasib, yanlış və ya anormal fəaliyyətləri aşkarlayan və onlara hesabat verən sistemlərdir. Bundan əlavə, IDS şəbəkəyə və ya serverə icazəsiz müdaxilə olub-olmadığını aşkar etmək üçün istifadə edilə bilər. IPS (Intrusion Prevention System) icazəsiz məlumatlar ehtiva edərsə, əlaqələri aktiv şəkildə kəsən və ya paketləri buraxan bir sistemdir. IPS IDS-in uzantısı kimi görünə bilər.
IDS
IDS şəbəkəyə nəzarət edir və uyğun olmayan, yanlış və ya anormal fəaliyyətləri aşkar edir. IDS-in iki əsas növü var. Birincisi, Şəbəkəyə müdaxilənin aşkarlanması sistemidir (NIDS). Bu sistemlər şəbəkədəki trafiki yoxlayır və müdaxilələri müəyyən etmək üçün çoxlu hostlara nəzarət edir. Şəbəkədəki trafiki tutmaq üçün sensorlar istifadə olunur və zərərli məzmunu müəyyən etmək üçün hər bir paket təhlil edilir. İkinci növ Host əsaslı müdaxilə aşkarlama sistemidir (HIDS). HIDS host maşınlarında və ya serverdə yerləşdirilir. Onlar qeyri-adi davranışı müəyyən etmək üçün sistem jurnalı faylları, audit izləri və fayl sistemi dəyişiklikləri kimi maşın üçün yerli olan məlumatları təhlil edirlər. HIDS potensial anomaliyaları müəyyən etmək üçün ev sahibinin normal profilini müşahidə edilən fəaliyyətlərlə müqayisə edir. Əksər yerlərdə IDS quraşdırılmış qurğular boarder router və firewall arasında və ya boarder routerdən kənarda yerləşdirilir. Bəzi hallarda IDS quraşdırılmış qurğular hücumların tam genişliyini görmək niyyəti ilə firewall və boarder routerdən kənarda yerləşdirilir. Performans IDS sistemləri üçün əsas problemdir, çünki onlar yüksək bant genişliyi şəbəkə cihazları ilə istifadə olunur. Yüksək performanslı komponentlər və yenilənmiş proqram təminatı ilə belə, IDS paketləri buraxmağa meyllidir, çünki onlar böyük ötürmə qabiliyyətini idarə edə bilmirlər.
IPS
IPS müdaxilə və ya hücumu müəyyən etdikdə onun qarşısını almaq üçün fəal şəkildə addımlar atan sistemdir. IPS dörd kateqoriyaya bölünür. Birincisi, şübhəli fəaliyyət üçün bütün şəbəkəni izləyən Şəbəkəyə əsaslanan müdaxilənin qarşısının alınmasıdır (NIPS). İkinci növ, paylanmış xidmətdən imtina (DDoS) kimi hücumun nəticələri ola biləcək qeyri-adi trafik axınlarını aşkar etmək üçün trafik axınını yoxlayan Şəbəkə Davranış Analizi (NBA) sistemləridir. Üçüncü növ şübhəli trafik üçün simsiz şəbəkələri təhlil edən Simsiz Hücumun Qarşısının Alınması Sistemləridir (WIPS). Dördüncü növ, bir hostun fəaliyyətinə nəzarət etmək üçün proqram paketinin quraşdırıldığı Host-based Intrusion Prevention Systems (HIPS)-dir. Daha əvvəl qeyd edildiyi kimi, IPS zərərli məlumatları ehtiva edən paketləri atmaq, pozan IP ünvanından gələn trafiki sıfırlamaq və ya bloklamaq kimi aktiv addımlar atır.
IPS və IDS arasındakı fərq nədir?
İDS şəbəkəyə nəzarət edən və uyğun olmayan, yanlış və ya anomal fəaliyyətləri aşkar edən sistemdir, IPS isə müdaxilə və ya hücumu aşkarlayan və onların qarşısını almaq üçün aktiv addımlar atan sistemdir. İkisi arasındakı əsas ehtiram IDS-dən fərqli olaraq, IPS aşkar edilən müdaxilələrin qarşısını almaq və ya bloklamaq üçün fəal şəkildə addımlar atır. Bu qarşısının alınması addımlarına zərərli paketlərin atılması və zərərli IP ünvanlarından gələn trafikin sıfırlanması və ya bloklanması kimi fəaliyyətlər daxildir. IPS, müdaxilələri aşkar edərkən onların qarşısını almaq üçün əlavə imkanlara malik olan IDS-in genişləndirilməsi kimi görünə bilər.