Behatolásérzékelő rendszer (IDS)olyan, mint a hálózat felderítője, amelynek fő funkciója a behatolási viselkedés megtalálása és riasztás küldése. A hálózati forgalom vagy a gazdagép viselkedésének valós idejű monitorozásával összehasonlítja az előre beállított „támadási aláírások könyvtárát” (például az ismert víruskódot, a hacker támadási mintát) a „normál viselkedési alapértékekkel” (például a normál hozzáférési gyakorisággal, az adatátviteli formátummal), és azonnal riasztást indít, valamint részletes naplót rögzít, amint rendellenességet talál. Például, amikor egy eszköz gyakran megpróbálja brute force-szal feltörni a szerver jelszavát, az IDS azonosítja ezt a rendellenes bejelentkezési mintát, gyorsan figyelmeztető információkat küld a rendszergazdának, és megőrzi a kulcsfontosságú bizonyítékokat, például a támadás IP-címét és a kísérletek számát a későbbi nyomon követhetőség támogatása érdekében.
A telepítési hely szerint az IDS-ek (azonosító démonok) főként két kategóriába sorolhatók. A hálózati IDS-eket (NIDS) a hálózat kulcsfontosságú csomópontjain (pl. átjárókon, switcheken) telepítik, hogy figyeljék a teljes hálózati szegmens forgalmát és észleljék az eszközök közötti támadási viselkedést. A mainframe IDS-eket (HIDS) egyetlen szerverre vagy terminálra telepítik, és egy adott gazdagép viselkedésének figyelésére összpontosítanak, például a fájlmódosításra, a folyamatok indítására, a portok foglaltságára stb., amelyek pontosan képesek rögzíteni az egyetlen eszköz behatolását. Egy e-kereskedelmi platform egyszer rendellenes adatáramlást észlelt a NIDS-en keresztül – nagyszámú felhasználói információt töltöttek le tömegesen ismeretlen IP-címről. Az időben érkező figyelmeztetés után a technikai csapat gyorsan lezárta a sebezhetőséget, és elkerülte az adatszivárgásból eredő baleseteket.
Mylinking™ hálózati csomagközvetítő alkalmazás behatolásérzékelő rendszerben (IDS)
Behatolásmegelőző rendszer (IPS)a hálózat „őrzője”, amely növeli a támadások aktív elfogásának képességét az IDS észlelési funkciója alapján. Kártékony forgalom észlelésekor valós idejű blokkoló műveleteket hajthat végre, például megszakíthatja a rendellenes kapcsolatokat, eldobhatja a kártékony csomagokat, blokkolhatja a támadási IP-címeket stb., anélkül, hogy rendszergazdai beavatkozásra kellene várnia. Például, amikor az IPS egy e-mail melléklet továbbítását zsarolóvírus jellemzőivel azonosítja, azonnal elfogja az e-mailt, hogy megakadályozza a vírus bejutását a belső hálózatba. DDoS-támadások esetén képes kiszűrni a hamis kérések nagy részét, és biztosítani a szerver normál működését.
Az IPS védelmi képessége a „valós idejű válaszmechanizmuson” és az „intelligens frissítőrendszeren” alapul. A modern IPS rendszeresen frissíti a támadásszignatúra-adatbázist, hogy szinkronizálja a legújabb hackertámadási módszereket. Egyes csúcskategóriás termékek támogatják a „viselkedéselemzést és tanulást” is, amely automatikusan azonosítja az új és ismeretlen támadásokat (például a nulladik napi támadásokat). Egy pénzintézet által használt IPS rendszer egy nem nyilvános sebezhetőséget kihasználva SQL-befecskendezési támadást talált és blokkolt az abnormális adatbázis-lekérdezési gyakoriság elemzésével, megakadályozva az alapvető tranzakciós adatok manipulálását.
Bár az IDS és az IPS hasonló funkciókkal rendelkezik, vannak kulcsfontosságú különbségek: a szerep szempontjából az IDS „passzív monitorozás + riasztás”, és nem avatkozik be közvetlenül a hálózati forgalomba. Alkalmas olyan forgatókönyvekre, amelyek teljes körű auditot igényelnek, de nem akarják befolyásolni a szolgáltatást. Az IPS az „aktív védelem + megszakítás” rövidítése, és valós időben képes elfogni a támadásokat, de biztosítania kell, hogy ne mérje félre a normál forgalmat (a téves riasztások szolgáltatáskimaradásokat okozhatnak). A gyakorlati alkalmazásokban gyakran „együttműködnek” – az IDS felelős a bizonyítékok átfogó monitorozásáért és megőrzéséért, hogy kiegészítse az IPS támadási aláírásait. Az IPS felelős a valós idejű elfogásért, a fenyegetések elleni védekezésért, a támadások okozta veszteségek csökkentéséért, valamint egy teljes biztonsági zárt hurok létrehozásáért, amely az „észlelés-védelem-nyomon követés” elvét követi.
Az IDS/IPS fontos szerepet játszik különböző forgatókönyvekben: otthoni hálózatokban az olyan egyszerű IPS-képességek, mint az útválasztókba épített támadáselfogás, védelmet nyújtanak a gyakori portszkennelések és a rosszindulatú linkek ellen; vállalati hálózatban professzionális IDS/IPS-eszközök telepítése szükséges a belső szerverek és adatbázisok célzott támadásoktól való védelme érdekében. Felhőalapú számítástechnikai forgatókönyvekben a felhőalapú IDS/IPS rugalmasan skálázható felhőszerverekhez képes alkalmazkodni, hogy észlelje a bérlők közötti rendellenes forgalmat. A hackertámadási módszerek folyamatos fejlesztésével az IDS/IPS a „mesterséges intelligencia alapú elemzés” és a „többdimenziós korrelációérzékelés” irányába is fejlődik, tovább javítva a hálózati biztonság védelmi pontosságát és válaszsebességét.
Mylinking™ hálózati csomagközvetítő alkalmazás behatolásmegelőző rendszerben (IPS)
Közzététel ideje: 2025. október 22.
