Įsilaužimo aptikimo sistema (IDS)yra tarsi žvalgas tinkle, kurio pagrindinė funkcija yra aptikti įsilaužimo elgseną ir išsiųsti aliarmą. Stebėdamas tinklo srautą arba pagrindinio kompiuterio elgseną realiuoju laiku, jis lygina iš anksto nustatytą „atakos parašų biblioteką“ (pvz., žinomą viruso kodą, įsilaužėlio atakos modelį) su „įprasto elgesio baze“ (pvz., įprastu prieigos dažniu, duomenų perdavimo formatu) ir, radęs anomaliją, nedelsdamas suaktyvina aliarmą ir įrašo išsamų žurnalą. Pavyzdžiui, kai įrenginys dažnai bando brutalia jėga nulaužti serverio slaptažodį, IDS nustato šį neįprastą prisijungimo modelį, greitai išsiųs įspėjamąją informaciją administratoriui ir išsaugos pagrindinius įrodymus, pvz., atakos IP adresą ir bandymų skaičių, kad būtų galima vėliau atsekti duomenis.
Pagal diegimo vietą, IDS galima suskirstyti į dvi pagrindines kategorijas. Tinklo IDS (NIDS) diegiamos pagrindiniuose tinklo mazguose (pvz., šliuzuose, komutatoriuose), kad būtų galima stebėti viso tinklo segmento srautą ir aptikti atakų iš kelių įrenginių elgseną. Pagrindinių kompiuterių IDS (HIDS) diegiamos viename serveryje arba terminale ir yra skirtos konkretaus kompiuterio elgsenos stebėjimui, pvz., failų modifikavimui, procesų paleidimui, prievadų užimtumui ir kt., kad būtų galima tiksliai užfiksuoti įsilaužimą į vieną įrenginį. Kartą viena el. prekybos platforma aptiko nenormalų duomenų srautą per NIDS – iš nežinomo IP adreso masiškai buvo atsisiunčiama daug naudotojų informacijos. Laiku gavusi įspėjimą, techninė komanda greitai užblokavo pažeidžiamumą ir išvengė duomenų nutekėjimo avarijų.
„Mylinking™“ tinklo paketų tarpininkų programa įsilaužimų aptikimo sistemoje (IDS)
Įsilaužimų prevencijos sistema (IPS)yra tinklo „sargas“, kuris padidina aktyvių atakų perėmimo galimybes, remiantis IDS aptikimo funkcija. Aptikus kenkėjišką srautą, sistema gali atlikti blokavimo operacijas realiuoju laiku, pvz., nutraukti neįprastus ryšius, atmesti kenkėjiškus paketus, blokuoti atakos IP adresus ir pan., nelaukdama administratoriaus įsikišimo. Pavyzdžiui, kai IPS aptinka el. laiško priedo perdavimą su išpirkos reikalaujančio viruso požymiais, ji nedelsdama perima el. laišką, kad virusas nepatektų į vidinį tinklą. Susidūrusi su DDoS atakomis, ji gali filtruoti daugybę netikrų užklausų ir užtikrinti normalų serverio veikimą.
IPS gynybos pajėgumai remiasi „realaus laiko reagavimo mechanizmu“ ir „intelektualia atnaujinimo sistema“. Šiuolaikinės IPS reguliariai atnaujina atakų parašų duomenų bazę, kad sinchronizuotų naujausius įsilaužėlių atakų metodus. Kai kurie aukščiausios klasės produktai taip pat palaiko „elgesio analizę ir mokymąsi“, kurie gali automatiškai atpažinti naujas ir nežinomas atakas (pvz., nulinės dienos spragas). Finansų įstaigos naudojama IPS sistema, analizuodama neįprastą duomenų bazės užklausų dažnį, aptiko ir užblokavo SQL injekcijos ataką, naudodama neatskleistą pažeidžiamumą, taip užkirsdama kelią pagrindinių operacijų duomenų klastojimui.
Nors IDS ir IPS atlieka panašias funkcijas, yra esminių skirtumų: vaidmens požiūriu IDS yra „pasyvus stebėjimas + įspėjimas“ ir tiesiogiai nesikiša į tinklo srautą. Jis tinka scenarijams, kuriems reikalingas išsamus auditas, bet nenorima paveikti paslaugos. IPS reiškia „aktyvi gynyba + pertraukimas“ ir gali perimti atakas realiuoju laiku, tačiau turi užtikrinti, kad ji neklaidins įprasto srauto (klaidingai teigiami rezultatai gali sutrikdyti paslaugos teikimą). Praktiškai jie dažnai „bendradarbiauja“ – IDS yra atsakinga už išsamų įrodymų stebėjimą ir saugojimą, kad papildytų IPS atakų parašus. IPS yra atsakinga už perėmimą realiuoju laiku, grėsmių apsaugą, atakų sukeltų nuostolių mažinimą ir visiško saugumo uždaro ciklo „aptikimas-gynyba-sekamumas“ formavimą.
IDS/IPS atlieka svarbų vaidmenį įvairiuose scenarijuose: namų tinkluose paprastos IPS galimybės, tokios kaip maršrutizatoriuose įmontuota atakų perėmimas, gali apsisaugoti nuo įprastų prievadų nuskaitymų ir kenkėjiškų nuorodų; įmonių tinkle būtina diegti profesionalius IDS/IPS įrenginius, kad būtų apsaugoti vidiniai serveriai ir duomenų bazės nuo tikslinių atakų. Debesų kompiuterijos scenarijuose debesų kompiuterijos IDS/IPS gali prisitaikyti prie lanksčiai keičiamo dydžio debesų serverių, kad aptiktų nenormalų srautą tarp nuomininkų. Nuolat tobulinant įsilaužėlių atakų metodus, IDS/IPS taip pat vystosi „DI intelektualios analizės“ ir „daugiamačio koreliacijos aptikimo“ kryptimi, dar labiau pagerindamos tinklo saugumo gynybos tikslumą ir reagavimo greitį.
„Mylinking™“ tinklo paketų tarpininkų programa įsilaužimų prevencijos sistemoje (IPS)
Įrašo laikas: 2025 m. spalio 22 d.
