IDS در مقابل IPS
IDS (سیستم تشخیص نفوذ) سیستمهایی هستند که فعالیتهای نامناسب، نادرست یا غیرعادی را در شبکه شناسایی و گزارش میکنند. علاوه بر این، IDS می تواند برای تشخیص اینکه آیا یک شبکه یا یک سرور در حال تجربه نفوذ غیرمجاز است استفاده می شود. IPS (سیستم جلوگیری از نفوذ) سیستمی است که به طور فعال اتصالات را قطع می کند یا بسته ها را در صورت داشتن داده های غیرمجاز رها می کند. IPS را می توان به عنوان پسوند IDS دید.
IDS
IDS شبکه را کنترل می کند و فعالیت های نامناسب، نادرست یا غیرعادی را شناسایی می کند. دو نوع اصلی IDS وجود دارد. اولین مورد سیستم تشخیص نفوذ شبکه (NIDS) است.این سیستم ها ترافیک شبکه را بررسی می کنند و میزبان های متعدد را برای شناسایی نفوذها نظارت می کنند. از حسگرها برای ضبط ترافیک در شبکه استفاده می شود و هر بسته برای شناسایی محتوای مخرب تجزیه و تحلیل می شود. نوع دوم سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS) است. HIDS در ماشین های میزبان یا سرور مستقر می شوند. آنها دادههای محلی دستگاه مانند فایلهای گزارش سیستم، مسیرهای حسابرسی و تغییرات سیستم فایل را برای شناسایی رفتار غیرعادی تجزیه و تحلیل میکنند. HIDS مشخصات نرمال میزبان را با فعالیت های مشاهده شده برای شناسایی ناهنجاری های بالقوه مقایسه می کند. در بیشتر مکانها، دستگاههای نصبشده IDS بین روتر مرزی و فایروال یا خارج از روتر مرزی قرار میگیرند. در برخی موارد دستگاههای نصبشده IDS خارج از فایروال و روتر مرزی با هدف مشاهده وسعت کامل حملات تلاش شده قرار میگیرند. عملکرد یک مشکل کلیدی برای سیستم های IDS است زیرا آنها با دستگاه های شبکه با پهنای باند بالا استفاده می شوند. حتی با وجود مولفههای با کارایی بالا و نرمافزار بهروز شده، IDS تمایل دارد بستهها را رها کند، زیرا نمیتوانند توان عملیاتی بزرگ را مدیریت کنند.
IPS
IPS سیستمی است که به طور فعال اقداماتی را برای جلوگیری از نفوذ یا حمله در هنگام شناسایی انجام می دهد. IPS به چهار دسته تقسیم می شود. اولین مورد، پیشگیری از نفوذ مبتنی بر شبکه (NIPS) است که کل شبکه را برای فعالیت های مشکوک نظارت می کند. نوع دوم، سیستمهای تحلیل رفتار شبکه (NBA) است که جریان ترافیک را برای تشخیص جریانهای ترافیک غیرعادی که میتواند نتایج حملاتی مانند انکار سرویس توزیعشده (DDoS) باشد، بررسی میکند. نوع سوم، سیستم های پیشگیری از نفوذ بی سیم (WIPS) است که شبکه های بی سیم را برای ترافیک مشکوک تجزیه و تحلیل می کند. نوع چهارم، سیستمهای پیشگیری از نفوذ مبتنی بر میزبان (HIPS) است، که در آن یک بسته نرمافزاری برای نظارت بر فعالیتهای یک میزبان نصب میشود. همانطور که قبلاً ذکر شد، IPS گامهای فعالی مانند حذف بستههایی که حاوی دادههای مخرب هستند، بازنشانی یا مسدود کردن ترافیک ناشی از یک آدرس IP متخلف را انجام میدهد.
تفاوت بین IPS و IDS چیست؟
IDS سیستمی است که شبکه را نظارت می کند و فعالیت های نامناسب، نادرست یا غیرعادی را شناسایی می کند، در حالی که IPS سیستمی است که نفوذ یا حمله را تشخیص می دهد و اقدامات فعالی را برای جلوگیری از آنها انجام می دهد. تفاوت اصلی بین این دو برخلاف IDS است، IPS به طور فعال اقداماتی را برای جلوگیری یا مسدود کردن نفوذهای شناسایی شده انجام می دهد. این مراحل پیشگیری شامل فعالیت هایی مانند حذف بسته های مخرب و بازنشانی یا مسدود کردن ترافیک وارد شده از آدرس های IP مخرب است. IPS را می توان به عنوان یک توسعه دهنده IDS دید که دارای قابلیت های اضافی برای جلوگیری از نفوذ در حین شناسایی آنها است.
