Forskel mellem IDS og IPS

IDS vs IPS

IDS (Intrusion Detection System) er systemer, der registrerer aktiviteter, der er upassende, forkerte eller afvigende i et netværk og rapporterer dem. Desuden kan IDS bruges til at registrere, om et netværk eller en server oplever en uautoriseret indtrængen. IPS (Intrusion Prevention System) er et system, der aktivt kobler fra forbindelser eller dropper pakker, hvis de indeholder uautoriserede data. IPS kan ses som en udvidelse af IDS.

IDS

IDS overvåger netværket og registrerer upassende, forkerte eller anomale aktiviteter. Der er to hovedtyper af IDS. Den første er Network Intrusion Detection System (NIDS). Disse systemer undersøger trafikken i netværket og overvåger flere værter for at identificere indtrængen. Sensorer bruges til at fange trafikken i netværket, og hver pakke analyseres for at identificere ondsindet indhold. Den anden type er det Host-baserede intrusionsdetektionssystem (HIDS). HIDS distribueres i værtsmaskiner eller på en server. De analyserer data, der er lokale på maskinen, f.eks. Systemlogfiler, revisionsspor og filsystemændringer for at identificere usædvanlig opførsel. HIDS sammenligner værtens normale profil med de observerede aktiviteter for at identificere potentielle afvigelser. De fleste steder placeres IDS-installerede enheder mellem boarder router og firewall eller uden for boarder router. I nogle tilfælde er IDS-installerede enheder placeret uden for firewall- og boarder-routeren med det formål at se den fulde bredde af angreb, der er forsøgt angrebet. Ydeevne er et vigtigt problem med IDS-systemer, da de bruges med netværksenheder med høj båndbredde. Selv med komponenter med høj ydeevne og opdateret software har IDS en tendens til at droppe pakker, da de ikke kan håndtere den store gennemstrømning.

IPS

IPS er et system, der aktivt tager skridt for at forhindre en indtrængen eller et angreb, når det identificerer et. IPS er opdelt i fire kategorier. Den første er den netværksbaserede indtrængenforebyggelse (NIPS), der overvåger hele netværket for mistænksom aktivitet. Den anden type er netværksadfærdsanalysesystemer (NBA) -systemer, der undersøger trafikstrømmen for at detektere usædvanlige trafikstrømme, som kan være et resultat af angreb, såsom distribueret denial of service (DDoS). Den tredje type er WIPS (Wireless Intrusion Prevention Systems), der analyserer trådløse netværk for mistænksom trafik. Den fjerde type er de Host-baserede systemer til forebyggelse af indtrængen (HIPS), hvor en softwarepakke er installeret til at overvåge aktiviteterne hos en enkelt vært. Som nævnt tidligere tager IPS aktive trin, såsom at tabe pakker, der indeholder ondsindede data, nulstille eller blokere trafik, der kommer fra en krænkende IP-adresse.

Hvad er forskellen mellem IPS og IDS?

Et IDS er et system, der overvåger netværket og registrerer upassende, forkerte eller afvigende aktiviteter, mens et IPS er et system, der registrerer indtrængen eller et angreb og tager aktive skridt for at forhindre dem. Hovedadferens mellem de to er i modsætning til IDS, IPS tager aktivt skridt til at forhindre eller blokere indtrængen, der opdages. Disse forhindringstrin inkluderer aktiviteter som at tabe ondsindede pakker og nulstille eller blokere trafik fra ondsindede IP-adresser. IPS kan ses som en udvidelse af IDS, der har de ekstra muligheder for at forhindre indtrængen, mens de opdager dem.