Rozdíl mezi IDS a IPS

IDS vs IPS

IDS (Intrusion Detection System) jsou systémy, které detekují aktivity, které jsou nevhodné, nesprávné nebo neobvyklé v síti a ohlásí je. IDS lze dále použít k detekci, zda síť nebo server dochází k neoprávněnému vniknutí. IPS (Intrusion Prevention System) je systém, který aktivně odpojuje spojení nebo upouští pakety, pokud obsahují neoprávněná data. IPS lze považovat za rozšíření IDS.

IDS

IDS monitoruje síť a detekuje nevhodné, nesprávné nebo neobvyklé činnosti. Existují dva hlavní typy IDS. Prvním z nich je systém detekce narušení sítě (NIDS). Tyto systémy zkoumají provoz v síti a monitorují více hostitelů pro identifikaci narušení. Senzory se používají k zachycení provozu v síti a každý paket je analyzován za účelem identifikace škodlivého obsahu. Druhým typem je systém detekce narušení založený na hostiteli (HIDS). HIDS jsou rozmístěny v hostitelských počítačích nebo na serveru. Analyzují data, která jsou pro stroj lokální, jako jsou soubory systémového protokolu, auditní stopy a změny systému souborů, aby identifikovaly neobvyklé chování. HIDS porovná normální profil hostitele s pozorovanými aktivitami pro identifikaci potenciálních anomálií. Na většině míst jsou zařízení instalovaná IDS umístěna mezi interní router a firewall nebo mimo interní router. V některých případech jsou zařízení nainstalovaná IDS umístěna mimo firewall a směrovač routeru s cílem vidět celou šířku pokusů o útoky. Výkon je klíčovým problémem u systémů IDS, protože se používají u síťových zařízení s velkou šířkou pásma. I u vysoce výkonných součástí a aktualizovaného softwaru má IDS tendenci vyřazovat pakety, protože nedokážou zvládnout velkou propustnost.

IPS

IPS je systém, který aktivně podniká kroky k zabránění narušení nebo útoku, když jej identifikuje. IPS jsou rozděleny do čtyř kategorií. Prvním z nich je Network-based Intrusion Prevention (NIPS), který monitoruje podezření na celou síť. Druhým typem jsou systémy analýzy chování v síti (NBA), které zkoumají tok provozu a detekují neobvyklé toky dat, které by mohly být výsledkem útoku, jako je distribuované odmítnutí služby (DDoS). Třetím typem jsou bezdrátové systémy prevence narušení (WIPS), které analyzují bezdrátové sítě na podezřelý provoz. Čtvrtým typem jsou systémy prevence narušení založené na hostiteli (HIPS) založené na hostiteli, kde je nainstalován softwarový balíček pro sledování činností jediného hostitele. Jak již bylo zmíněno, IPS podniká aktivní kroky, jako je vyřazení paketů obsahujících škodlivá data, resetování nebo blokování provozu přicházejícího z problematické IP adresy.

Jaký je rozdíl mezi IPS a IDS?

IDS je systém, který monitoruje síť a detekuje nevhodné, nesprávné nebo neobvyklé činnosti, zatímco IPS je systém, který detekuje narušení nebo útok a podniká aktivní kroky, aby jim zabránil. Hlavní rozdíl mezi nimi je na rozdíl od IDS, IPS aktivně podniká kroky k zabránění nebo blokování detekovaných narušení. Tyto preventivní kroky zahrnují aktivity, jako je vyřazení škodlivých paketů a resetování nebo blokování provozu přicházejícího ze škodlivých IP adres. IPS lze považovat za rozšíření IDS, které má další možnosti, jak zabránit průnikům a zároveň je detekovat.