IDS vs IPS
IDS (Intrusion Detection System) är system som upptäcker aktiviteter som är olämpliga, felaktiga eller anomala i ett nätverk och rapporterar dem. Dessutom kan IDS användas för att upptäcka om ett nätverk eller en server upplever ett obehörigt intrång. IPS (Intrusion Prevention System) är ett system som aktivt kopplar bort anslutningar eller släpper paket, om de innehåller obehörig data. IPS kan ses som en förlängning av IDS.
IDS
IDS övervakar nätverket och upptäcker olämpliga, felaktiga eller onormala aktiviteter. Det finns två huvudtyper av IDS. Den första är Network Intrusion Detection System (NIDS). Dessa system undersöker trafiken i nätverket och övervakar flera värdar för att identifiera intrång. Sensorer används för att fånga upp trafiken i nätverket och varje paket analyseras för att identifiera skadligt innehåll. Den andra typen är det värdbaserade systemet för intrångsdetektion (HIDS). HIDS distribueras i värddatorer eller en server. De analyserar data som är lokala för maskinen såsom systemloggfiler, granskningsspår och filsystemändringar för att identifiera ovanligt beteende. HIDS jämför värdens normala profil med de observerade aktiviteterna för att identifiera potentiella anomalier. På de flesta ställen placeras IDS-installerade enheter mellan gränsroutern och brandväggen eller utanför gränsroutern. I vissa fall placeras IDS-installerade enheter utanför brandväggen och gränsroutern i syfte att se hela bredden av försök till attacker. Prestanda är ett nyckelproblem med IDS-system eftersom de används med nätverksenheter med hög bandbredd. Även med högpresterande komponenter och uppdaterad mjukvara tenderar IDS att tappa paket eftersom de inte kan hantera den stora genomströmningen.
IPS
IPS är ett system som aktivt vidtar åtgärder för att förhindra ett intrång eller en attack när det identifierar en. IPS är indelade i fyra kategorier. Den första är Network-based Intrusion Prevention (NIPS), som övervakar hela nätverket för misstänkt aktivitet. Den andra typen är Network Behaviour Analysis (NBA)-system som undersöker trafikflödet för att upptäcka ovanliga trafikflöden som kan vara resultat av attacker som distribuerad överbelastning (DDoS). Den tredje typen är Wireless Intrusion Prevention Systems (WIPS), som analyserar trådlösa nätverk för misstänkt trafik. Den fjärde typen är värdbaserade intrångsförebyggande system (HIPS), där ett mjukvarupaket installeras för att övervaka aktiviteter för en enda värd. Som nämnts tidigare tar IPS aktiva steg som att tappa paket som innehåller skadlig data, återställa eller blockera trafik som kommer från en felande IP-adress.
Vad är skillnaden mellan IPS och IDS?
Ett IDS är ett system som övervakar nätverket och upptäcker olämpliga, felaktiga eller avvikande aktiviteter, medan en IPS är ett system som upptäcker intrång eller en attack och vidtar aktiva åtgärder för att förhindra dem. Huvudakten mellan de två är till skillnad från IDS, IPS vidtar aktivt åtgärder för att förhindra eller blockera intrång som upptäcks. Dessa förhindrande steg inkluderar aktiviteter som att tappa skadliga paket och återställa eller blockera trafik som kommer från skadliga IP-adresser. IPS kan ses som en förlängning av IDS, som har ytterligare möjligheter att förhindra intrång samtidigt som de upptäcks.
