Разлика между IDS и IPS

IDS срещу IPS

IDS (Intrusion Detection System) са системи, които откриват дейности, които са неподходящи, неправилни или аномални в една мрежа и ги отчитат. Освен това IDS може да се използва за откриване на това дали дадена мрежа или сървър изпитва неоторизирано проникване. IPS (Intrusion Prevention System) е система, която активно прекъсва връзки или пуска пакети, ако съдържат неоторизирани данни. IPS може да се разглежда като разширение на IDS.

IDS

IDS следи мрежата и открива неподходящи, неправилни или аномални дейности. Има два основни типа IDS. Първият е мрежовата система за откриване на проникване (NIDS). Тези системи изследват трафика в мрежата и наблюдават множество хостове за идентифициране на посегателства. Сензорите се използват за улавяне на трафика в мрежата и всеки пакет се анализира за идентифициране на злонамерено съдържание. Вторият тип е базирана на Host система за откриване на проникване (HIDS). HIDS се разполагат в хост машини или сървър. Те анализират локални за машината данни като системни файлове в журнала, пътеки за одит и промени в файловата система, за да идентифицират необичайно поведение. HIDS сравняват нормалния профил на гостоприемника с наблюдаваните дейности, за да идентифицират потенциални аномалии. На повечето места инсталираните IDS устройства се поставят между борд рутера и защитната стена или извън рутера. В някои случаи IDS инсталираните устройства се поставят извън защитната стена и борд рутера с намерението да се види пълната ширина на опитите за атаки. Производителността е ключов проблем при IDS системите, тъй като те се използват с мрежови устройства с висока честотна лента. Дори и с високоефективни компоненти и актуализиран софтуер, IDS са склонни да отпадат пакетите, тъй като не могат да се справят с голямата пропускателна способност.

IPS

IPS е система, която активно предприема стъпки за предотвратяване на проникване или атака, когато идентифицира такъв. IPS са разделени на четири категории. Първата е мрежово базирана превенция от проникване (NIPS), която следи цялата мрежа за подозрителна активност. Вторият тип са системите за анализ на мрежовото поведение (NBA), които изследват потока на трафика, за да открият необичайни потоци от трафик, които биха могли да бъдат резултат от атака, като разпределен отказ на услуга (DDoS). Третият вид са безжичните системи за предотвратяване на проникване (WIPS), които анализират безжичните мрежи за подозрителен трафик. Четвъртият тип са базирани на хоста системи за предотвратяване на проникване (HIPS), където е инсталиран софтуерен пакет за наблюдение на дейностите на един хост. Както бе споменато по-рано, IPS предприема активни стъпки като отпадане на пакети, които съдържат злонамерени данни, нулиране или блокиране на трафик, идващ от нарушаващ IP адрес.

Каква е разликата между IPS и IDS?

IDS е система, която следи мрежата и открива неподходящи, неправилни или аномални дейности, докато IPS е система, която открива проникване или атака и предприема активни стъпки за предотвратяването им. Основното зачитане между двете е за разлика от IDS, IPS активно предприема стъпки за предотвратяване или блокиране на намеси, които са открити. Тези стъпки за предотвратяване включват дейности като изпускане на злонамерени пакети и нулиране или блокиране на трафик, идващ от злонамерени IP адреси. IPS може да се разглежда като разширение на IDS, което има допълнителни възможности за предотвратяване на посегателства, докато ги открива.