IDS vs IPS
IDS (Intrusion Detection System) är system som upptäcker aktiviteter som är olämpliga, felaktiga eller avvikande i ett nätverk och rapporterar dem. Dessutom kan IDS användas för att upptäcka om ett nätverk eller en server upplever ett obehörigt intrång. IPS (Intrusion Prevention System) är ett system som aktivt kopplar bort anslutningar eller släpper paket om de innehåller obehörig data. IPS kan ses som en förlängning av IDS.
IDS
IDS övervakar nätverket och upptäcker olämpliga, felaktiga eller avvikande aktiviteter. Det finns två huvudtyper av IDS. Den första är Network Intrusion Detection System (NIDS). Dessa system undersöker trafiken i nätverket och övervakar flera värdar för att identifiera intrång. Sensorer används för att fånga trafiken i nätverket och varje paket analyseras för att identifiera skadligt innehåll. Den andra typen är det värdbaserade systemet för intrångsdetektering (HIDS). HIDS distribueras i värdmaskiner eller en server. De analyserar data som är lokala för maskinen som systemloggfiler, granskningsspår och filsystemändringar för att identifiera ovanligt beteende. HIDS jämför värdens normala profil med de observerade aktiviteterna för att identifiera potentiella avvikelser. På de flesta ställen,IDS-installerade enheter placeras mellan gränserroutern och brandväggen eller utanför gränserroutern. I vissa fall placeras IDS-installerade enheter utanför brandväggen och boarderroutern med avsikt att se hela bredden av attackförsök. Prestanda är en nyckelfråga med IDS-system eftersom de används med nätverksenheter med hög bandbredd. Även med högpresterande komponenter och uppdaterad programvara tenderar IDS att släppa paket eftersom de inte kan hantera den stora genomströmningen. IDS tenderar att släppa paket eftersom de inte kan hantera den stora genomströmningen. IDS tenderar att släppa paket eftersom de inte kan hantera den stora genomströmningen.
IPS
IPS är ett system som aktivt vidtar åtgärder för att förhindra ett intrång eller en attack när det identifierar ett. IPS är uppdelad i fyra kategorier. Den första är nätverksbaserad intrångsförebyggande (NIPS), som övervakar hela nätverket för misstänkt aktivitet. Den andra typen är NBA-system (Network Behavior Analysis) som undersöker trafikflödet för att upptäcka ovanliga trafikflöden som kan vara resultat av attacker såsom distribuerad denial of service (DDoS). Den tredje typen är Wireless Intrusion Prevention Systems (WIPS), som analyserar trådlösa nätverk för misstänkt trafik. Den fjärde typen är värdbaserade Intrusion Prevention Systems (HIPS), där ett mjukvarupaket är installerat för att övervaka aktiviteter för en enda värd. Som tidigare nämnts tar IPS aktiva steg som att släppa paket som innehåller skadlig data,återställa eller blockera trafik som kommer från en stötande IP-adress.
Vad är skillnaden mellan IPS och IDS?
Ett IDS är ett system som övervakar nätverket och upptäcker olämpliga, felaktiga eller avvikande aktiviteter, medan en IPS är ett system som upptäcker intrång eller en attack och vidtar aktiva åtgärder för att förhindra dem. Huvudskillnaden mellan de två är till skillnad från IDS, IPS tar aktivt åtgärder för att förhindra eller blockera intrång som upptäcks. Dessa förebyggande steg inkluderar aktiviteter som att släppa skadliga paket och återställa eller blockera trafik från skadliga IP-adresser. IPS kan ses som en förlängning av IDS, som har ytterligare funktioner för att förhindra intrång medan de upptäcker dem.