IDS vs IPS
IDS (Intrusion Detection System) är system som identifierar aktiviteter som är olämpliga, felaktiga eller avvikande i ett nätverk och rapporterar dem. IDS kan dessutom användas för att upptäcka om ett nätverk eller en server upplever obehörig intrång. IPS (Intrusion Prevention System) är ett system som aktivt kopplar bort anslutningar eller sänker paket om de innehåller obehöriga data. IPS kan ses som en förlängning av IDS.
IDS
IDS övervakar nätverket och upptäcker olämpliga, felaktiga eller avvikande aktiviteter. Det finns två huvudtyper av IDS. Den första är nätverksintrångsdetekteringssystemet (NIDS). Dessa system undersöker trafiken i nätverket och övervakar flera värdar för att identifiera intrång. Sensorer används för att fånga trafiken i nätverket och varje paket analyseras för att identifiera skadligt innehåll. Den andra typen är det värdbaserade intrångsdetekteringssystemet (HIDS). HIDS distribueras i värdmaskiner eller en server. De analyserar data som är lokala för maskinen, som systemloggfiler, revisionsspår och filsystemändringar för att identifiera ovanligt beteende. HIDS jämnar värdens normala profil med de observerade aktiviteterna för att identifiera potentiella anomalier. I de flesta fall placeras IDS-installerade enheter mellan gränssnittsroutern och brandväggen eller utanför gränssnittsroutern. I vissa fall placeras IDS-installerade enheter utanför brandväggen och boarder-routern, med avsikt att se den fullständiga bredden av försök att angripa. Prestanda är en viktig fråga med IDS-system eftersom de används tillsammans med nätverksenheter med hög bandbredd. Även med högpresterande komponenter och uppdaterad programvara tenderar IDS att släppa paket eftersom de inte klarar av den stora genomströmningen.
IPS
IPS är ett system som aktivt vidtar åtgärder för att förhindra ett intrång eller en attack när den identifierar en. IPS är indelade i fyra kategorier. Den första är Nätverksbaserad Inbrottsförebyggande (NIPS), som övervakar hela nätverket för misstänkt aktivitet. Den andra typen är Nätverksbeteendeanalys (NBA) -system som granskar trafikflödet för att upptäcka ovanliga trafikflöden som kan vara resultat av attacker, såsom distribuerad avslag av tjänst (DDoS). Den tredje typen är WIPS (Wireless Intrusion Prevention Systems), som analyserar trådlösa nätverk för misstänkt trafik. Den fjärde typen är värdbaserade intrångsskyddssystem (HIPS), där ett programpaket är installerat för att övervaka aktiviteter hos en enda värd. Som tidigare nämnts tar IPS aktiva steg som att släppa paket som innehåller skadlig data, återställa eller blockera trafik som kommer från en förekommande IP-adress.
Vad är skillnaden mellan IPS och IDS?
Ett IDS är ett system som övervakar nätverket och upptäcker olämpliga, felaktiga eller avvikande aktiviteter, medan en IPS är ett system som upptäcker intrång eller en attack och tar aktiva åtgärder för att förhindra dem. Huvudföreställningen mellan de två är till skillnad från IDS. IPS tar aktivt åtgärder för att förhindra eller blockera intrång som detekteras. Dessa förebyggande åtgärder inkluderar aktiviteter som att släppa onda paket och återställa eller blockera trafik som kommer från skadliga IP-adresser. IPS kan ses som en förlängning av IDS, som har ytterligare möjligheter för att förhindra intrång när de upptäcker dem.