IDS so với IPS
IDS (Hệ thống phát hiện xâm nhập) là hệ thống phát hiện các hoạt động không phù hợp, không chính xác hoặc bất thường trong mạng và báo cáo chúng. Hơn nữa, IDS có thể được sử dụng để phát hiện xem mạng hoặc máy chủ có đang bị xâm nhập trái phép hay không. IPS (Hệ thống ngăn chặn xâm nhập) là một hệ thống chủ động ngắt kết nối hoặc làm rơi các gói tin, nếu chúng chứa dữ liệu trái phép. IPS có thể được coi là một phần mở rộng của IDS.
IDS
IDS giám sát mạng và phát hiện các hoạt động không phù hợp, không chính xác hoặc bất thường. Có hai loại IDS chính. Đầu tiên là hệ thống phát hiện xâm nhập mạng (NIDS). Các hệ thống này kiểm tra lưu lượng trong mạng và giám sát nhiều máy chủ để xác định các hành vi xâm nhập. Các cảm biến được sử dụng để nắm bắt lưu lượng trong mạng và mỗi gói tin được phân tích để xác định nội dung độc hại. Loại thứ hai là hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS). HIDS được triển khai trên máy chủ hoặc máy chủ. Họ phân tích dữ liệu cục bộ của máy như tệp nhật ký hệ thống, đường mòn kiểm tra và các thay đổi hệ thống tệp để xác định hành vi bất thường. HIDS so sánh hồ sơ bình thường của vật chủ với các hoạt động quan sát được để xác định các bất thường tiềm ẩn. Ở hầu hết các nơi, các thiết bị được cài đặt IDS được đặt ở giữa bộ định tuyến nội trú và tường lửa hoặc bên ngoài bộ định tuyến nội trú. Trong một số trường hợp, các thiết bị đã cài đặt IDS được đặt bên ngoài tường lửa và bộ định tuyến nội trú với khả năng nhìn thấy toàn bộ phạm vi của các cuộc tấn công đã cố gắng. Hiệu suất là một vấn đề quan trọng đối với hệ thống IDS vì chúng được sử dụng với các thiết bị mạng băng thông cao. Ngay cả với các thành phần hiệu suất cao và phần mềm cập nhật, IDS có xu hướng bỏ các gói vì chúng không thể xử lý thông lượng lớn.
IPS
IPS là một hệ thống chủ động thực hiện các bước để ngăn chặn sự xâm nhập hoặc tấn công khi nó xác định được một. IPS được chia thành bốn loại. Đầu tiên là Phòng chống xâm nhập dựa trên mạng (NIPS), theo dõi toàn bộ mạng để tìm hoạt động đáng ngờ. Loại thứ hai là hệ thống Phân tích Hành vi Mạng (NBA) kiểm tra luồng lưu lượng để phát hiện luồng lưu lượng bất thường có thể là kết quả của tấn công như từ chối dịch vụ phân tán (DDoS). Loại thứ ba là Hệ thống ngăn chặn xâm nhập không dây (WIPS), phân tích mạng không dây để tìm lưu lượng đáng ngờ. Loại thứ tư là Hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS), trong đó một gói phần mềm được cài đặt để giám sát các hoạt động của một máy chủ duy nhất. Như đã đề cập trước đó, IPS thực hiện các bước tích cực như loại bỏ các gói chứa dữ liệu độc hại, đặt lại hoặc chặn lưu lượng truy cập đến từ địa chỉ IP vi phạm.
Sự khác biệt giữa IPS và IDS là gì?
IDS là hệ thống giám sát mạng và phát hiện các hoạt động không phù hợp, không chính xác hoặc bất thường, trong khi IPS là hệ thống phát hiện xâm nhập hoặc tấn công và thực hiện các bước chủ động để ngăn chặn chúng. Sự khác biệt chính giữa hai điều này không giống như IDS, IPS chủ động thực hiện các bước để ngăn chặn hoặc chặn các hành vi xâm nhập được phát hiện. Các bước ngăn chặn này bao gồm các hoạt động như thả các gói dữ liệu độc hại và đặt lại hoặc chặn lưu lượng truy cập đến từ các địa chỉ IP độc hại. IPS có thể được coi là một phần mở rộng của IDS, có các khả năng bổ sung để ngăn chặn sự xâm nhập trong khi phát hiện chúng.
