Perbezaan Antara IDS dan IPS

Anonim

IDS vs IPS

IDS (Sistem Pengesan Pencerobohan) adalah sistem yang mengesan aktiviti yang tidak wajar, tidak betul atau anomali dalam rangkaian dan melaporkannya. Selain itu, IDS boleh digunakan untuk mengesan sama ada rangkaian atau pelayan mengalami gangguan yang tidak dibenarkan. IPS (Sistem Pencegahan Pencerobohan) adalah sistem yang secara aktif melepaskan sambungan atau drop paket, jika ia mengandungi data yang tidak sah. IPS boleh dilihat sebagai lanjutan IDS.

IDS

IDS memantau rangkaian dan mengesan aktiviti yang tidak sesuai, tidak betul atau anomali. Terdapat dua jenis utama IDS. Yang pertama ialah sistem pengesanan pencerobohan Jaringan (NIDS). Sistem ini memeriksa lalu lintas di rangkaian dan memantau beberapa tuan rumah untuk mengenal pasti pencerobohan. Sensor digunakan untuk menangkap lalu lintas dalam rangkaian dan setiap paket dianalisis untuk mengenal pasti kandungan berniat jahat. Jenis kedua ialah sistem pengesanan pencerobohan berasaskan Host (HIDS). HIDS digunakan dalam mesin tuan rumah atau pelayan. Mereka menganalisis data yang setempat ke mesin seperti fail log sistem, laluan audit dan perubahan sistem fail untuk mengenal pasti kelakuan yang luar biasa. HIDS membandingkan profil normal tuan rumah dengan aktiviti yang diperhatikan untuk mengenal pasti potensi anomali. Di kebanyakan tempat, peranti dipasang IDS diletakkan di antara penghala asrama dan firewall atau di luar penghala asrama. Dalam sesetengah keadaan, peranti yang dipasang IDS diletakkan di luar firewall dan router asrama dengan intensi melihat luas serangan percubaan. Prestasi adalah isu utama dengan sistem IDS kerana ia digunakan dengan peranti rangkaian jalur lebar yang tinggi. Walaupun dengan komponen prestasi tinggi dan perisian yang dikemaskini, IDS cenderung untuk menggugurkan paket kerana mereka tidak dapat mengendalikan toput besar.

IPS

IPS adalah sistem yang secara aktif mengambil langkah-langkah untuk mencegah gangguan atau serangan apabila ia mengenal pasti satu. IPS dibahagikan kepada empat kategori. Pertama adalah Pencegahan Pencerobohan berasaskan Rangkaian (NIPS), yang memantau keseluruhan rangkaian untuk aktiviti yang mencurigakan. Jenis kedua adalah sistem Analisis Perilaku Rangkaian (NBA) yang memeriksa aliran lalu lintas untuk mengesan arus trafik yang luar biasa yang boleh menyebabkan serangan seperti penyebaran perkhidmatan yang diedarkan (DDoS). Jenis ketiga ialah Sistem Pencegahan Pencerobohan Tanpa Wayar (WIPS), yang menganalisis rangkaian tanpa wayar untuk trafik yang mencurigakan. Jenis keempat ialah Sistem Pencegahan Pencerobohan berasaskan Hos (HIPS), di mana pakej perisian dipasang untuk memantau aktiviti-aktiviti satu hos tunggal. Seperti yang dinyatakan sebelum ini, IPS mengambil langkah aktif seperti menjatuhkan paket yang mengandungi data berniat jahat, menyusun semula atau menyekat lalu lintas yang datang dari alamat IP yang menyinggung.

Apakah perbezaan antara IPS dan IDS?

IDS adalah sistem yang memantau rangkaian dan mengesan aktiviti yang tidak sesuai, tidak betul atau anomali, sementara IPS adalah sistem yang mengesan pencerobohan atau serangan dan mengambil langkah aktif untuk menghalangnya. Pertimbangan utama antara keduanya adalah tidak seperti IDS, IPS secara aktif mengambil langkah-langkah untuk mencegah atau menyekat pencerobohan yang dikesan. Langkah-langkah pencegahan ini termasuk aktiviti seperti menjatuhkan paket berniat jahat dan menyusun semula atau menyekat lalu lintas yang datang dari alamat IP berniat jahat. IPS boleh dilihat sebagai lanjutan IDS, yang mempunyai keupayaan tambahan untuk mencegah pencerobohan sementara mengesannya.