IDS pret IPS
IDS (Ielaušanās noteikšanas sistēma) ir sistēmas, kas tīklā atklāj darbības, kas ir neatbilstošas, nepareizas vai anomālas, un ziņo par tām. Turklāt IDS var izmantot, lai noteiktu, vai tīklā vai serverī notiek nesankcionēta ielaušanās. IPS (Intrusion Prevention System) ir sistēma, kas aktīvi atvieno savienojumus vai pamet paketes, ja tajās ir nesankcionēti dati. IPS var uzskatīt par IDS paplašinājumu.
IDS
IDS pārrauga tīklu un atklāj nepiemērotas, nepareizas vai anomālas darbības. Ir divi galvenie IDS veidi. Pirmā ir tīkla ielaušanās noteikšanas sistēma (NIDS). Šīs sistēmas pārbauda trafiku tīklā un pārrauga vairākus saimniekdatorus, lai identificētu ielaušanās gadījumus. Sensori tiek izmantoti, lai uztvertu trafiku tīklā, un katra pakete tiek analizēta, lai identificētu ļaunprātīgu saturu. Otrs veids ir uz resursdatora balstīta ielaušanās atklāšanas sistēma (HIDS). HIDS tiek izvietoti resursdatoros vai serverī. Viņi analizē datus, kas ir lokāli ierīcei, piemēram, sistēmas žurnālfailus, audita pēdas un failu sistēmas izmaiņas, lai noteiktu neparastu uzvedību. HIDS salīdzina parasto saimnieka profilu ar novērotajām aktivitātēm, lai identificētu iespējamās anomālijas. Lielākajā daļā vietu IDS instalētās ierīces tiek novietotas starp robežmaršrutētāju un ugunsmūri vai ārpus robežmaršrutētāja. Dažos gadījumos IDS instalētās ierīces tiek novietotas ārpus ugunsmūra un robežmaršrutētāja ar nolūku redzēt visus uzbrukumu mēģinājumus. Veiktspēja ir galvenā problēma IDS sistēmās, jo tās tiek izmantotas ar liela joslas platuma tīkla ierīcēm. Pat ar augstas veiktspējas komponentiem un atjauninātu programmatūru IDS mēdz izmest paketes, jo tās nevar apstrādāt lielo caurlaidspēju.
IPS
IPS ir sistēma, kas aktīvi veic pasākumus, lai novērstu ielaušanos vai uzbrukumu, kad tā to identificē. IPS ir sadalītas četrās kategorijās. Pirmais ir tīklā balstīta ielaušanās novēršana (NIPS), kas uzrauga visu tīklu, lai atklātu aizdomīgas darbības. Otrs veids ir tīkla uzvedības analīzes (NBA) sistēmas, kas pārbauda trafika plūsmu, lai atklātu neparastas trafika plūsmas, kas varētu būt uzbrukuma, piemēram, izplatītā pakalpojuma atteikuma (DDoS) rezultāts. Trešais veids ir Wireless Intrusion Prevention Systems (WIPS), kas analizē bezvadu tīklus, lai noteiktu aizdomīgu trafiku. Ceturtais veids ir uz resursdatora balstītas ielaušanās novēršanas sistēmas (HIPS), kurās ir instalēta programmatūras pakotne, lai uzraudzītu viena resursdatora darbības. Kā minēts iepriekš, IPS veic aktīvas darbības, piemēram, atmet paketes, kas satur ļaunprātīgus datus, atiestata vai bloķē trafiku, kas nāk no aizskarošas IP adreses.
Kāda ir atšķirība starp IPS un IDS?
IDS ir sistēma, kas uzrauga tīklu un atklāj neatbilstošas, nepareizas vai anomālas darbības, savukārt IPS ir sistēma, kas konstatē ielaušanos vai uzbrukumu un veic aktīvas darbības, lai tās novērstu. Galvenā atšķirība starp abiem ir atšķirībā no IDS, IPS aktīvi veic pasākumus, lai novērstu vai bloķētu atklātos ielaušanās gadījumus. Šīs novēršanas darbības ietver tādas darbības kā ļaunprātīgu pakešu nomešana un trafika atiestatīšana vai bloķēšana no ļaunprātīgām IP adresēm. IPS var uzskatīt par IDS paplašinājumu, kam ir papildu iespējas novērst ielaušanos to noteikšanas laikā.