Интрузияны анықтау жүйесі (IDS)желідегі барлаушы сияқты, негізгі функциясы - интрузияның әрекетін табу және дабыл жіберу. Желілік трафикті немесе хост әрекетін нақты уақыт режимінде бақылай отырып, ол алдын ала орнатылған «шабуыл қолтаңбасының кітапханасын» (белгілі вирус коды, хакерлік шабуыл үлгісі сияқты) «қалыпты мінез-құлық базасы» (қалыпты қатынас жиілігі, деректерді беру пішімі сияқты) салыстырады және бірден дабылды іске қосады және аномалия табылған кезде егжей-тегжейлі журналды жазады. Мысалы, құрылғы сервер құпия сөзін жиі бұзуға тырысқанда, IDS осы қалыптан тыс кіру үлгісін анықтайды, әкімшіге ескерту ақпаратын жылдам жібереді және шабуылдың IP мекенжайы және кейінгі бақылауға қолдау көрсету әрекеттерінің саны сияқты негізгі дәлелдерді сақтайды.
Орналастыру орнына сәйкес IDS негізінен екі санатқа бөлуге болады. Желілік IDS (NIDS) желінің негізгі түйіндерінде (мысалы, шлюздер, коммутаторлар) бүкіл желі сегментінің трафигін бақылау және құрылғылар арасындағы шабуыл әрекетін анықтау үшін орналастырылған. Mainframe IDS (HIDS) бір серверде немесе терминалда орнатылады және бір құрылғыға кіруді дәл түсіре алатын файлды өзгерту, процесті іске қосу, порттың толтырылуы және т.б. сияқты белгілі бір хосттың әрекетін бақылауға бағытталған. Электрондық коммерция платформасы бір кездері NIDS арқылы әдеттен тыс деректер ағынын тапты -- пайдаланушы ақпаратының үлкен саны белгісіз IP арқылы жаппай жүктеліп жатқан. Уақытылы ескертуден кейін техникалық топ осалдықты тез құлыптап, деректердің ағып кетуіне жол бермеді.
Intrusion Detection System (IDS) жүйесіндегі Mylinking™ Network Packet Brokers қолданбасы
Интрузияның алдын алу жүйесі (IPS)желідегі «қамқоршы» болып табылады, ол IDS анықтау функциясы негізінде шабуылдарды белсенді түрде ұстау мүмкіндігін арттырады. Зиянды трафик анықталғанда, ол әкімшінің араласуын күтпей-ақ қалыпты емес қосылымдарды үзу, зиянды пакеттерді тастау, шабуылдың IP мекенжайларын блоктау және т.б. сияқты нақты уақытта блоктау операцияларын орындай алады. Мысалы, IPS төлемдік бағдарлама вирусының сипаттамалары бар электрондық пошта тіркемесінің берілуін анықтаған кезде, вирустың ішкі желіге енуіне жол бермеу үшін ол дереу электрондық поштаны ұстайды. DDoS шабуылдары жағдайында ол көптеген жалған сұрауларды сүзіп, сервердің қалыпты жұмысын қамтамасыз ете алады.
IPS қорғаныс қабілеті «нақты уақытта жауап беру механизміне» және «интеллектуалды жаңарту жүйесіне» негізделген. Қазіргі заманғы IPS соңғы хакерлер шабуылының әдістерін синхрондау үшін шабуыл қолтаңбасының дерекқорын үнемі жаңартып отырады. Кейбір жоғары сапалы өнімдер жаңа және белгісіз шабуылдарды (мысалы, нөлдік күндік эксплойттар) автоматты түрде анықтай алатын «мінез-құлықты талдау және оқытуды» қолдайды. Қаржы институты пайдаланатын IPS жүйесі негізгі транзакция деректерін бұрмалауға жол бермей, әдеттен тыс дерекқор сұрау жиілігін талдау арқылы ашылмаған осалдықты пайдаланып SQL инъекциялық шабуылын тапты және бұғаттады.
IDS және IPS функциялары ұқсас болғанымен, негізгі айырмашылықтары бар: рөл тұрғысынан IDS «пассивті бақылау + ескерту» болып табылады және желілік трафикке тікелей араласпайды. Ол толық аудитті қажет ететін, бірақ қызметке әсер еткісі келмейтін сценарийлер үшін қолайлы. IPS «белсенді қорғаныс + үзіліс» дегенді білдіреді және нақты уақыт режимінде шабуылдарды ұстай алады, бірақ ол қалыпты трафикті дұрыс бағаламауын қамтамасыз етуі керек (жалған позитивтер қызметтің үзілуіне әкелуі мүмкін). Практикалық қолданбаларда олар жиі «ынтымақтасады» -- IDS IPS үшін шабуыл қолтаңбаларын толықтыру үшін дәлелдемелерді жан-жақты бақылауға және сақтауға жауап береді. IPS нақты уақытта ұстауға, қорғаныс қатерлеріне, шабуылдардан болатын шығындарды азайтуға және «анықтау-қорғаныс-бақылау» толық қауіпсіздік тұйық циклін қалыптастыруға жауап береді.
IDS/IPS әртүрлі сценарийлерде маңызды рөл атқарады: үй желілерінде маршрутизаторларға енгізілген шабуылдарды тоқтату сияқты қарапайым IPS мүмкіндіктері жалпы порт сканерлеуінен және зиянды сілтемелерден қорғай алады; Кәсіпорын желісінде ішкі серверлер мен дерекқорларды мақсатты шабуылдардан қорғау үшін кәсіби IDS/IPS құрылғыларын орналастыру қажет. Бұлтты есептеу сценарийлерінде бұлтқа негізделген IDS/IPS жалға берушілер арасындағы қалыптан тыс трафикті анықтау үшін серпімді түрде масштабталатын бұлт серверлеріне бейімделе алады. Хакерлер шабуылының әдістерін үздіксіз жаңарта отырып, IDS/IPS сонымен қатар «AI интеллектуалды талдау» және «көп өлшемді корреляцияны анықтау» бағытында дамып, қорғаныс дәлдігі мен желі қауіпсіздігінің жауап беру жылдамдығын одан әрі арттыруда.
Intrusion Prevention System (IPS) жүйесіндегі Mylinking™ Network Packet Brokers қолданбасы
Хабарлама уақыты: 22 қазан 2025 ж
