Tarmoq xavfsizligi sohasida intruzulashni aniqlash tizimi (IDS) va intruzalarning oldini olish tizimi (IPS) muhim rol o'ynaydi. Ushbu maqolada ularning ta'riflari, vazifalari, farqlari va dasturiy stsenariylarini chuqur o'rganadi.
IDS nima (intruzulashni aniqlash tizimi)?
IDlarni aniqlash
Intishni aniqlash tizimi - bu noqonuniy faoliyat yoki hujumlarni aniqlash uchun tarmoq trafikini monitorlashtiradigan va tahlil qiladigan xavfsizlik vositasidir. Bu tarmoq trafigi, tizim jurnallari va boshqa tegishli ma'lumotlarni tekshirish orqali ma'lum bo'lgan hujum naqshlariga mos keladigan imzolarni qidiradi.
IDS qanday ishlaydi
IDlar asosan quyidagi usullarda ishlaydi:
Imzoni aniqlash: IDlar viruslarni aniqlash uchun virus skanerlariga o'xshash, mos keladigan hujumlarning oldindan belgilangan imzosini ishlatadi. IDlar trafikda ushbu imzolarni mos keladigan xususiyatlarni o'z ichiga olganida ogohlantiradi.
Anomaliyani aniqlash: IDlar normal tarmoqning normal faoliyatining dastlabki tizimini kuzatadi va normal xatti-harakatlardan sezilarli darajada farq qiladigan naqshlarni aniqlashda ogohlantirishlarni ko'taradi. Bu noma'lum yoki yangi hujumlarni aniqlashga yordam beradi.
Protokolni tahlil qilish: IDlar tarmoq protokollaridan foydalanishni tahlil qiladi va standart protokollar bilan mos kelmaydigan xulqni aniqlaydi va shu bilan mumkin bo'lgan hujumlarni aniqlaydi.
ID turlari
Ular joylashtirilgan joyga qarab, identifikatorlarni ikkita asosiy turga bo'lish mumkin:
Tarmoq identifikatorlari (nid): Tarmoq orqali oqadigan barcha trafikni kuzatish uchun tarmoqqa joylashtiring. U ikkala tarmoqni ham, transport qatlami hujumlarini ham aniqlaydi.
Xost identifikatorlari (yashirish): O'sha xostdagi tizimning tizim faoliyati monitoringi uchun bitta xostga joylashtirildi. Bu ko'proq model dasturlari va g'ayritabiiy foydalanuvchi xatti-harakati kabi xost-darajali hujumlarni aniqlash bo'yicha ko'proq e'tibor qaratilgan.
IPS (Introgatsiyaning oldini olish tizimi)?
IPS ta'rifi
Introgatsiyaning oldini olish tizimi, ularni aniqlash yoki himoya qilish uchun potentsial xurujlarni to'xtatish yoki himoya qilish uchun faol choralarni ko'radigan xavfsizlik vositalari. IDlar bilan taqqoslaganda nafaqat monitoring va ogohlantirish uchun vositadir, balki faol aralashishi va mumkin bo'lgan tahdidlarning oldini oladigan vositadir.
IPS qanday ishlaydi
IPS tizimni tarmoq orqali oqilona trafikni to'sib qo'ymaslik orqali himoya qiladi. Uning asosiy ish printsipi quyidagilarni o'z ichiga oladi:
Hujumni blokirovka qilish: Chaqiriqlar uchun xujum trafikini aniqlaganda, ushbu trafikning tarmoq ichiga kirishni oldini olish uchun tezkor choralarni ko'rish mumkin. Bu hujumni yanada keng tarqalishiga yordam beradi.
Ulanish holatini tiklash holatini tiklash: IPS aloqada bo'lgan ulanish holatini qayta o'rnatishi mumkin, bu hujumchini ulanishni qayta o'rnatishga va shu bilan hujumni to'xtatishga majbur qiladi.
Xavfsizlik qoidalarini o'zgartirish: IPS real vaqt tahdidi vaziyatlariga moslashish uchun o'ziga xos trafik turlarini blokirovka qilish yoki oldini olish uchun xavfsizlik devoriy qoidalarini dinamik jihatdan o'zgartirishi mumkin.
IPS turlari
IPS-lariga o'xshash, IPS ikkita asosiy turga bo'linishi mumkin:
IPS tarmog'i (nip): Tarmoqdagi hujumlarni kuzatish va himoya qilish uchun tarmoqqa joylashtiring. U tarmoq qatlami va transport sathlari hujumlariga qarshi himoya qilishi mumkin.
Xost IPS (kestirib): O'rta ravishda zararli dasturlar va ekspluatatsiya kabi xost-darajali hujumlardan ehtiyotkorlik bilan himoya qilish uchun bitta xostni taqdim etish uchun joylashtirildi.
Intrission aniqlash tizimi (IDS) va intruziyani oldini olish tizimi (IPS) o'rtasidagi farq nima?
Ishlashning turli usullari
IDlar asosan aniqlash va signal uchun ishlatiladigan passiv monitoring tizimi. Bundan farqli o'laroq, ITS faol va potentsial hujumlardan himoya qilish choralarini ko'rishga qodir.
Xavf va ta'sirni taqqoslash
IDlarning passiv tabiati tufayli u o'tkazib yuborishi yoki noto'g'ri ijobiy ta'sir ko'rsatishi mumkin, chunki IPSni faol ravishda himoya qilish do'stona o'tga olib kelishi mumkin. Ikkala tizimdan foydalanganda xavf va samaradorlikni muvozanatlash zarur.
Joylashtirish va konfiguratsiya farqlari
IDlar odatda moslashuvchan va tarmoqdagi turli joylarda joylashtirilishi mumkin. Bundan farqli o'laroq, IPSni joylashtirish va konfiguratsiya qilish normal trafikka aralashuvdan saqlanishni talab qiladi.
ID va IPS-ning o'rnatilgan qo'llanilishi
ID va iPS bir-birini to'ldiradi, id va zarurat tug'ilganda to'lovlarni kuzatib, ogohlantirishlar va iP-ni amalga oshirishi bilan. Ularning kombinatsiyasi tarmoq xavfsizligi bo'yicha keng qamrovli mudofaa liniyasini shakllantirishi mumkin.
IDS va IPSning qoidalari, imzolari va tahdidlari ma'lumotlarini muntazam ravishda yangilash zarur. Kiber tahdidlari doimiy ravishda rivojlanmoqda va o'z vaqtida yangilanishlar tizimning yangi tahdidlarni aniqlash qobiliyatini yaxshilashi mumkin.
ID va IP qoidalarini tarmoq muhiti va tashkilotning talablariga moslashtirish juda muhimdir. Qoidalarni sozlash orqali tizimning to'g'riligi yaxshilanishi va soxta ijobiy jarohatlar kamayishi mumkin.
ID va IPS real vaqt rejimida potentsial tahdidlarga javob bera olishi kerak. Tez va aniq javob hujumchilarni tarmoqqa ko'proq zarar etkazishini oldini olishga yordam beradi.
Tarmoq trafigi trafikni doimiy ravishda monitoring qilish va oddiy trafik naqshlarini tushunish anomaliyani aniqlash qobiliyatini yaxshilashga va noto'g'ri ijobiy imkoniyatlarni kamaytirishga yordam beradi.
O'ngdan topingTarmoq paketini brokerIDS bilan ishlash (intruzulashni aniqlash tizimi)
O'ngdan topingIPline bypass tugmachasiIPS (intruziyani oldini olish tizimi) bilan ishlash
Post vaqti: Sep-26-2024
