بحث امنیت یکی از اجزای جدا نشدنی سیستم های اطلاعاتی می باشد. این مقاله در مورد دو تکنولوژی برای افزایش امنیت شبکه و سیستم های تشخیص صحبت خواهد نمود و تفاوت IDS و IPS به طور کامل بررسی خواهد شد.
IPS و IDS چیست؟
تکنولوژی های IPS و IDS ترافیک گذرنده در شبکه را جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزار های IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزار های IDS مسئولین را از وقوع یک حمله مطلع می سازند؛ ابزار های IPS یک گام جلوتر می روند و به صورت خودکار ترافیک آسیب رسان را مسدود می کنند.
IPS ها و IDS ها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPS ها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها این است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالی که محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند.
IPS (Intrusion Prevention System) سیستم های تشخیص نفوذ:
سیستم های جلوگیری از نفوذ یک وسیله امنیتی است که بر فعالیت های یک شبکه و یا یک سیستم نظارت کرده تا رفتار های ناخواسته یا مخرب را شناسایی کنند. در صورت شناسایی این رفتار ها، بلافاصله عکس العمل نشان داده و از ادامه فعالیت آن ها جلوگیری می کند.
IDS (Intrusion Detection system) سیستم های جلوگیری از نفوذ:
یک سیستم حفاظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند. روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل های کامپیوتر ها و نهایتا هک کردن می باشد، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند.
روش شناسایی حملات
IPS ها از دو طریق اصلی برای شناسایی حملات استفاده می کنند. سیستم های جلوگیری از نفوذ به دو دسته مبتنی بر میزبان و مبتنی بر شبکه تقسیم می شوند.
- تشخیص مبتنی بر امضا: IPS ها از پایگاه داده ای از امضا های حمله استفاده می کنند. امضا ها الگو های مشخصی از ترافیک شبکه هستند که با حملات خاص مرتبط هستند. زمانی که یک ترافیک شبکه با یک امضا مطابقت پیدا می کند، یک هشدار صادر می کند.
- تشخیص مبتنی بر رفتار: IPS ها به دنبال الگو های رفتاری غیر معمول در ترافیک شبکه هستند. این الگو ها می توانند نشانه ای از حمله باشند، به عنوان مثال، یک IPS ممکن است به دنبال افزایش ناگهانی ترافیک شبکه به یک آدرس IP خاص باشد.
