Басып кіруді анықтау жүйесі (IDS)желідегі барлаушы сияқты, негізгі функциясы - ену әрекетін табу және дабыл жіберу. Желілік трафикті немесе хост әрекетін нақты уақыт режимінде бақылау арқылы ол алдын ала орнатылған «шабуыл қолтаңбасы кітапханасын» (мысалы, белгілі вирус коды, хакерлік шабуыл үлгісі) «қалыпты әрекеттің бастапқы деңгейімен» (мысалы, қалыпты кіру жиілігі, деректерді беру форматы) салыстырады және аномалия табылған кезде дабылды дереу іске қосады және егжей-тегжейлі журналды жазады. Мысалы, құрылғы сервер құпия сөзін жиі бұзуға тырысқанда, IDS бұл қалыптан тыс кіру үлгісін анықтайды, әкімшіге ескерту ақпаратын тез жібереді және шабуылдың IP мекенжайы және кейінгі бақылау үшін қолдау көрсету әрекеттерінің саны сияқты негізгі дәлелдерді сақтайды.
Орналастыру орнына сәйкес, IDS негізінен екі санатқа бөлуге болады. Желілік IDS (NIDS) желінің негізгі түйіндерінде (мысалы, шлюздер, коммутаторлар) бүкіл желі сегментінің трафигін бақылау және құрылғылар арасындағы шабуыл әрекетін анықтау үшін орналастырылады. Негізгі кадрлық IDS (HIDS) бір серверге немесе терминалға орнатылады және файлды өзгерту, процесті іске қосу, порттың толтырылуы және т.б. сияқты белгілі бір хосттың әрекетін бақылауға бағытталған, бұл бір құрылғының басып кіруін дәл анықтай алады. Электрондық коммерция платформасы бірде NIDS арқылы қалыптан тыс деректер ағынын анықтады - пайдаланушы туралы ақпараттың көп бөлігі белгісіз IP арқылы көптеп жүктеліп жатқан. Уақытылы ескертуден кейін техникалық топ осалдықты тез арада құлыптап, деректердің ағып кету оқиғаларының алдын алды.
Mylinking™ желілік пакет брокерлерінің шабуылды анықтау жүйесіндегі (IDS) қолданбасы
Басып кірудің алдын алу жүйесі (IPS)желідегі «қамқоршы» болып табылады, ол IDS анықтау функциясы негізінде шабуылдарды белсенді түрде ұстап алу мүмкіндігін арттырады. Зиянды трафик анықталған кезде, ол әкімшінің араласуын күтпей-ақ, нақты уақыт режимінде блоктау операцияларын орындай алады, мысалы, қалыптан тыс қосылымдарды үзу, зиянды пакеттерді тастау, шабуылдың IP мекенжайларын бұғаттау және тағы басқалар. Мысалы, IPS электрондық пошта қосымшасының берілуін ransomware вирусының сипаттамаларымен анықтаған кезде, вирустың ішкі желіге енуіне жол бермеу үшін электрондық поштаны дереу ұстап алады. DDoS шабуылдарына тап болған кезде, ол көптеген жалған сұраныстарды сүзіп, сервердің қалыпты жұмысын қамтамасыз ете алады.
IPS қорғаныс қабілеті «нақты уақыттағы жауап беру механизміне» және «ақылды жаңарту жүйесіне» негізделген. Қазіргі IPS шабуыл қолтаңбасының дерекқорын хакерлік шабуылдың соңғы әдістерін синхрондау үшін үнемі жаңартып отырады. Кейбір жоғары сапалы өнімдер сонымен қатар жаңа және белгісіз шабуылдарды (мысалы, нөлдік күндік эксплойттар) автоматты түрде анықтай алатын «мінез-құлықты талдау және оқытуды» қолдайды. Қаржы мекемесі пайдаланатын IPS жүйесі дерекқордың сұраныс жиілігінің қалыптан тыс екенін талдау арқылы анықталмаған осалдықты пайдаланып SQL инъекция шабуылын тауып, бұғаттады, бұл негізгі транзакция деректерінің бұрмалануына жол бермейді.
IDS және IPS ұқсас функцияларға ие болғанымен, негізгі айырмашылықтар бар: рөл тұрғысынан IDS «пассивті бақылау + ескерту» болып табылады және желілік трафикке тікелей араласпайды. Ол толық аудитті қажет ететін, бірақ қызметке әсер еткісі келмейтін сценарийлерге жарамды. IPS «белсенді қорғаныс + үзіліс» дегенді білдіреді және шабуылдарды нақты уақыт режимінде тоқтата алады, бірақ ол қалыпты трафикті дұрыс бағаламауын қамтамасыз етуі керек (жалған оң нәтижелер қызметтің үзілістеріне әкелуі мүмкін). Практикалық қолдануда олар көбінесе «ынтымақтастықта» болады - IDS IPS үшін шабуыл қолтаңбаларын толықтыру үшін дәлелдемелерді жан-жақты бақылауға және сақтауға жауапты. IPS нақты уақыт режимінде ұстап алуға, қорғаныс қауіптеріне, шабуылдардан туындаған шығындарды азайтуға және «анықтау-қорғаныс-бақылау» толық қауіпсіздік тұйық циклін қалыптастыруға жауапты.
IDS/IPS әртүрлі сценарийлерде маңызды рөл атқарады: үй желілерінде маршрутизаторларға орнатылған шабуылдарды ұстап алу сияқты қарапайым IPS мүмкіндіктері жалпы портты сканерлеуден және зиянды сілтемелерден қорғай алады; Кәсіпорын желісінде ішкі серверлер мен дерекқорларды мақсатты шабуылдардан қорғау үшін кәсіби IDS/IPS құрылғыларын орналастыру қажет. Бұлтты есептеу сценарийлерінде бұлтқа негізделген IDS/IPS жалға алушылар арасындағы қалыптан тыс трафикті анықтау үшін икемді масштабталатын бұлт серверлеріне бейімделе алады. Хакерлік шабуыл әдістерін үздіксіз жаңартып отыру арқылы IDS/IPS сонымен қатар «AI интеллектуалды талдауы» және «көп өлшемді корреляцияны анықтау» бағытында дамып келеді, бұл желі қауіпсіздігінің қорғаныс дәлдігін және жауап беру жылдамдығын одан әрі жақсартады.
Mylinking™ желілік пакет брокерлерінің шабуылдың алдын алу жүйесіндегі (IPS) қолданбасы
Жарияланған уақыты: 2025 жылғы 22 қазан
