IDS ба IPS
IDS (Intrusion Detection System) нь сүлжээнд зохисгүй, буруу эсвэл хэвийн бус үйлдлүүдийг илрүүлж мэдээлэх систем юм. Цаашилбал, IDS нь сүлжээ эсвэл сервер зөвшөөрөлгүй халдлагад өртөж байгаа эсэхийг илрүүлэхэд ашиглаж болно. IPS (Intrusion Prevention System) нь зөвшөөрөлгүй өгөгдөл агуулж байгаа бол холболтыг идэвхтэй таслах эсвэл пакетуудыг таслах систем юм. IPS-ийг IDS-ийн өргөтгөл гэж харж болно.
IDS
IDS нь сүлжээг хянаж, зохисгүй, буруу эсвэл хэвийн бус үйл ажиллагааг илрүүлдэг. IDS-ийн үндсэн хоёр төрөл байдаг. Эхнийх нь сүлжээний халдлагыг илрүүлэх систем (NIDS) юм. Эдгээр системүүд нь сүлжээн дэх урсгалыг шалгаж, халдлагыг илрүүлэхийн тулд олон хостуудыг хянадаг. Сүлжээний урсгалыг барихын тулд мэдрэгчийг ашигладаг бөгөөд хорлонтой контентыг илрүүлэхийн тулд пакет бүрийг шинжилдэг. Хоёр дахь төрөл нь Хост суурилсан халдлагыг илрүүлэх систем (HIDS). HIDS нь хост машин эсвэл серверт байрладаг. Тэд системийн бүртгэлийн файлууд, аудитын мөрүүд болон файлын системийн өөрчлөлт зэрэг машинд хамаарах өгөгдөлд дүн шинжилгээ хийж, ер бусын үйлдлийг илрүүлдэг. HIDS нь болзошгүй эмгэгийг тодорхойлохын тулд хостын хэвийн дүр төрхийг ажиглагдсан үйл ажиллагаатай харьцуулдаг. Ихэнх газарт IDS суулгасан төхөөрөмжүүдийг boarder чиглүүлэгч болон галт хананы хооронд эсвэл boarder чиглүүлэгчийн гадна байрлуулдаг. Зарим тохиолдолд IDS суулгасан төхөөрөмжүүдийг галт хана болон boarder чиглүүлэгчийн гадна байрлуулж, оролдлогын халдлагыг бүхэлд нь харах зорилготой байдаг. Өндөр зурвасын өргөнтэй сүлжээний төхөөрөмжүүдэд ашиглагддаг тул гүйцэтгэл нь IDS системүүдийн гол асуудал юм. Өндөр хүчин чадалтай бүрэлдэхүүн хэсгүүд болон шинэчлэгдсэн програм хангамжтай байсан ч IDS нь их хэмжээний дамжуулах чадварыг даван туулж чадахгүй тул пакетуудыг хаях хандлагатай байдаг.
IPS
IPS нь халдлагаас урьдчилан сэргийлэх арга хэмжээг идэвхтэй хийдэг систем юм. IPS-ийг дөрвөн төрөлд хуваадаг. Эхнийх нь Сүлжээнд суурилсан халдлагаас урьдчилан сэргийлэх (NIPS) бөгөөд сүлжээг бүхэлд нь сэжигтэй үйлдлийг хянадаг. Хоёрдахь төрөл нь сүлжээний зан үйлийн шинжилгээ (NBA) системүүд бөгөөд энэ нь түгээлтээс татгалзах (DDoS) гэх мэт халдлагын үр дагавар байж болох ердийн бус замын хөдөлгөөний урсгалыг илрүүлэхийн тулд замын хөдөлгөөний урсгалыг шалгадаг. Гурав дахь төрөл нь утасгүй сүлжээг сэжигтэй траффикийг шинжилдэг Wireless Intrusion Prevention Systems (WIPS) юм. Дөрөв дэх төрөл нь Хост суурилсан халдлагаас урьдчилан сэргийлэх систем (HIPS) бөгөөд нэг хостын үйл ажиллагааг хянах програм хангамжийн багц суулгасан байдаг. Өмнө дурьдсанчлан, IPS нь хортой өгөгдөл агуулсан пакетуудыг устгах, зөрчилтэй IP хаягаас ирж буй урсгалыг дахин тохируулах эсвэл хаах зэрэг идэвхтэй алхмуудыг хийдэг.
IPS болон IDS хоёрын ялгаа юу вэ?
IDS нь сүлжээг хянаж, зохисгүй, буруу, хэвийн бус үйлдлийг илрүүлдэг систем бол IPS нь халдлага, халдлагыг илрүүлж, түүнээс урьдчилан сэргийлэх идэвхтэй арга хэмжээ авдаг систем юм. Энэ хоёрын хоорондох гол ялгаа нь IDS-ээс ялгаатай нь IPS нь илэрсэн халдлагаас урьдчилан сэргийлэх, хаах арга хэмжээг идэвхтэй хийдэг. Урьдчилан сэргийлэх эдгээр алхмуудад хортой пакетуудыг буулгах, хортой IP хаягаас ирж буй урсгалыг дахин тохируулах, хаах зэрэг үйлдлүүд багтана. IPS-ийг IDS-ийн өргөтгөл гэж харж болно. Энэ нь халдлагыг илрүүлэх явцад урьдчилан сэргийлэх нэмэлт боломжуудтай.
