Forskel Mellem IDS og IPS
IDS vs IPS
IDS (Intrusion Detection System) er systemer, der registrerer aktiviteter, der er upassende, ukorrekte eller uregelmæssige i et netværk og rapporterer dem. Desuden kan IDS bruges til at opdage, om et netværk eller en server oplever et uautoriseret indbrud. IPS (Intrusion Prevention System) er et system, der aktivt afbryder forbindelser eller dråber pakker, hvis de indeholder uautoriserede data. IPS kan ses som en udvidelse af IDS.
IDS
IDS overvåger netværket og registrerer upassende, ukorrekte eller uregelmæssige aktiviteter. Der er to hovedtyper af IDS. Den første er netværksindbrudsdetekteringssystemet (NIDS). Disse systemer undersøger trafikken i netværket og overvåger flere værter til at identificere indtrængen. Sensorer bruges til at indsamle trafikken i netværket, og hver pakke analyseres for at identificere skadeligt indhold. Den anden type er det Host-Based Intrusion Detection System (HIDS). HIDS er implementeret i værtsmaskiner eller en server. De analyserer data, der er lokale til maskinen, som systemlogfiler, revisionsspor og filsystemændringer for at identificere usædvanlig adfærd. HIDS sammenligner værts normale profil med de observerede aktiviteter for at identificere potentielle anomalier. I de fleste steder placeres IDS-installerede enheder mellem router og firewall eller udenfor routerrouteren. I nogle tilfælde placeres IDS-installerede enheder uden for firewall og boarder-router med den hensigt at se den fulde bredde af forsøg på angreb. Ydeevne er et nøgleproblem med IDS-systemer, da de bruges sammen med højbåndsbredde-netværksenheder. Selv med højtydende komponenter og opdateret software, har IDS tendens til at tabe pakker, da de ikke kan klare den store gennemgang.
IPS
IPS er et system, der aktivt tager skridt til at forhindre et indbrud eller et angreb, når det identificerer et. IPS er opdelt i fire kategorier. Den første er den netværksbaserede indtrængningsforebyggelse (NIPS), som overvåger hele netværket for mistænkelig aktivitet. Den anden type er Network Adaptation Analysis (NBA) -systemer, der undersøger trafikstrømmen for at detektere usædvanlige trafikstrømme, som kunne være resultater af angreb som distribueret tjenestenekt (DDoS). Den tredje type er WIPS (Wireless Intrusion Prevention Systems), der analyserer trådløse netværk for mistænkelig trafik. Den fjerde type er Host-based Intrusion Prevention Systems (HIPS), hvor en softwarepakke er installeret til overvågning af aktiviteter hos en enkelt vært. Som tidligere nævnt tager IPS aktive skridt som fx pakker, der indeholder ondsindede data, nulstiller eller blokererer trafik, der kommer fra en fornærmende IP-adresse.
Hvad er forskellen mellem IPS og IDS?
Et IDS er et system, der overvåger netværket og opdager upassende, ukorrekte eller uregelmæssige aktiviteter, mens en IPS er et system, der registrerer indtrængen eller et angreb og træffer aktive foranstaltninger for at forhindre dem. Hovedgodkendelsen mellem de to er i modsætning til IDS, tager IPS aktivt skridt til at forhindre eller blokere indtrængen, der opdages. Disse forebyggende trin omfatter aktiviteter som at droppe ondsindede pakker og nulstille eller blokere trafik, der kommer fra ondsindede IP-adresser. IPS kan ses som en udvidelse af IDS, som har de ekstra evner til at forhindre indtrængen, mens de registreres.