შეჭრის აღმოჩენის სისტემა (IDS)ქსელში მზვერავის მსგავსად, მისი ძირითადი ფუნქციაა შეჭრის ქცევის აღმოჩენა და განგაშის გაგზავნა. ქსელის ტრაფიკის ან ჰოსტის ქცევის რეალურ დროში მონიტორინგით, ის ადარებს წინასწარ დაყენებულ „შეტევის ხელმოწერების ბიბლიოთეკას“ (როგორიცაა ცნობილი ვირუსის კოდი, ჰაკერული შეტევის ნიმუში) „ჩვეულებრივი ქცევის საწყის ნიშნულთან“ (როგორიცაა ნორმალური წვდომის სიხშირე, მონაცემთა გადაცემის ფორმატი) და ანომალიის აღმოჩენისთანავე დაუყოვნებლივ რთავს განგაშს და იწერს დეტალურ ჟურნალს. მაგალითად, როდესაც მოწყობილობა ხშირად ცდილობს სერვერის პაროლის უხეში ძალის გამოყენებით გატეხვას, IDS ამოიცნობს ამ ანომალიურ შესვლის ნიმუშს, სწრაფად გაუგზავნის გამაფრთხილებელ ინფორმაციას ადმინისტრატორს და შეინახავს ძირითად მტკიცებულებებს, როგორიცაა შეტევის IP მისამართი და მცდელობების რაოდენობა, შემდგომი მიკვლევადობის მხარდაჭერის უზრუნველსაყოფად.
განლაგების ადგილმდებარეობის მიხედვით, IDS ძირითადად ორ კატეგორიად შეიძლება დაიყოს. ქსელის IDS (NIDS) განლაგებულია ქსელის ძირითად კვანძებში (მაგ., კარიბჭეები, კომუტატორები) მთელი ქსელის სეგმენტის ტრაფიკის მონიტორინგისა და მოწყობილობებს შორის შეტევის ქცევის აღმოსაჩენად. მეინფრეიმ IDS (HIDS) დამონტაჟებულია ერთ სერვერზე ან ტერმინალზე და ფოკუსირებულია კონკრეტული ჰოსტის ქცევის მონიტორინგზე, როგორიცაა ფაილის მოდიფიკაცია, პროცესის გაშვება, პორტის დაკავება და ა.შ., რაც საშუალებას იძლევა ზუსტად დააფიქსიროს ერთი მოწყობილობის შეჭრა. ელექტრონული კომერციის პლატფორმამ ერთხელ აღმოაჩინა მონაცემთა ანომალიური ნაკადი NIDS-ის მეშვეობით - მომხმარებლის ინფორმაციის დიდი რაოდენობა იტვირთებოდა უცნობი IP მისამართით. დროული გაფრთხილების შემდეგ, ტექნიკურმა გუნდმა სწრაფად დაბლოკა დაუცველობა და თავიდან აიცილა მონაცემთა გაჟონვის შემთხვევები.
Mylinking™ Network Packet Brokers აპლიკაცია შეჭრის დეტექციის სისტემაში (IDS)
შეჭრის პრევენციის სისტემა (IPS)არის ქსელში „მცველი“, რომელიც ზრდის შეტევების აქტიურად ჩაჭრის შესაძლებლობას IDS-ის აღმოჩენის ფუნქციის საფუძველზე. მავნე ტრაფიკის აღმოჩენისას, მას შეუძლია რეალურ დროში ბლოკირების ოპერაციების შესრულება, როგორიცაა ანომალიური კავშირების გათიშვა, მავნე პაკეტების გათიშვა, შეტევის IP მისამართების დაბლოკვა და ა.შ., ადმინისტრატორის ჩარევის მოლოდინის გარეშე. მაგალითად, როდესაც IPS ამოიცნობს ელფოსტის დანართის გადაცემას გამოსასყიდი პროგრამული უზრუნველყოფის ვირუსის მახასიათებლებით, ის დაუყოვნებლივ ჩაჭრის ელფოსტას, რათა თავიდან აიცილოს ვირუსის შიდა ქსელში შეღწევა. DDoS შეტევების წინაშე, მას შეუძლია გაფილტროს ყალბი მოთხოვნების დიდი რაოდენობა და უზრუნველყოს სერვერის ნორმალური ფუნქციონირება.
IPS-ის თავდაცვისუნარიანობა ეფუძნება „რეალურ დროში რეაგირების მექანიზმს“ და „ინტელექტუალურ განახლების სისტემას“. თანამედროვე IPS რეგულარულად აახლებს შეტევის ხელმოწერების მონაცემთა ბაზას ჰაკერული შეტევის უახლესი მეთოდების სინქრონიზაციისთვის. ზოგიერთი მაღალი კლასის პროდუქტი ასევე მხარს უჭერს „ქცევის ანალიზსა და სწავლას“, რომელსაც შეუძლია ავტომატურად ამოიცნოს ახალი და უცნობი შეტევები (მაგალითად, ნულოვანი დღის ექსპლოიტები). ფინანსური ინსტიტუტის მიერ გამოყენებულმა IPS სისტემამ აღმოაჩინა და დაბლოკა SQL ინექციის შეტევა გამოუვლენელი დაუცველობის გამოყენებით მონაცემთა ბაზის მოთხოვნის სიხშირის ანალიზით, რაც ხელს უშლის ძირითადი ტრანზაქციის მონაცემების გაყალბებას.
მიუხედავად იმისა, რომ IDS-სა და IPS-ს მსგავსი ფუნქციები აქვთ, არსებობს ძირითადი განსხვავებები: როლის თვალსაზრისით, IDS არის „პასიური მონიტორინგი + განგაში“ და პირდაპირ არ ერევა ქსელურ ტრაფიკში. ის შესაფერისია იმ სცენარებისთვის, რომლებიც საჭიროებენ სრულ აუდიტს, მაგრამ არ სურთ სერვისზე გავლენის მოხდენა. IPS ნიშნავს „აქტიური დაცვა + შეფერხებას“ და შეუძლია შეტევების რეალურ დროში ჩაჭრა, მაგრამ მან უნდა უზრუნველყოს, რომ არ შეაფასოს ნორმალური ტრაფიკი არასწორად (ცრუ დადებითმა შედეგებმა შეიძლება გამოიწვიოს სერვისის შეფერხება). პრაქტიკულ გამოყენებაში ისინი ხშირად „თანამშრომლობენ“ - IDS პასუხისმგებელია მტკიცებულებების ყოვლისმომცველ მონიტორინგსა და შენახვაზე, რათა შეავსოს IPS-ის შეტევის ხელმოწერები. IPS პასუხისმგებელია რეალურ დროში ჩაჭრაზე, თავდაცვის საფრთხეებზე, შეტევებით გამოწვეული დანაკარგების შემცირებაზე და „აღმოჩენა-დაცვა-მიკვლევადობის“ სრული უსაფრთხოების დახურული ციკლის ფორმირებაზე.
IDS/IPS მნიშვნელოვან როლს ასრულებს სხვადასხვა სცენარში: სახლის ქსელებში, როუტერებში ჩაშენებული მარტივი IPS შესაძლებლობები, როგორიცაა შეტევის ჩაჭრა, შეიძლება დაგიცვათ ჩვეულებრივი პორტების სკანირებისა და მავნე ბმულებისგან; საწარმოს ქსელში აუცილებელია პროფესიონალური IDS/IPS მოწყობილობების განთავსება შიდა სერვერებისა და მონაცემთა ბაზების მიზნობრივი შეტევებისგან დასაცავად. ღრუბლოვანი ტექნოლოგიების სცენარებში, ღრუბლოვან IDS/IPS-ს შეუძლია ადაპტირება მოახდინოს ელასტიურად მასშტაბირებად ღრუბლოვან სერვერებთან, რათა აღმოაჩინოს არანორმალური ტრაფიკი მოიჯარეებს შორის. ჰაკერული შეტევის მეთოდების მუდმივი განახლების შედეგად, IDS/IPS ასევე ვითარდება „ხელოვნური ინტელექტის ინტელექტუალური ანალიზისა“ და „მრავალგანზომილებიანი კორელაციის აღმოჩენის“ მიმართულებით, რაც კიდევ უფრო აუმჯობესებს ქსელის უსაფრთხოების დაცვის სიზუსტეს და რეაგირების სიჩქარეს.
Mylinking™ Network Packet Brokers აპლიკაცია შეჭრის პრევენციის სისტემაში (IPS)
გამოქვეყნების დრო: 2025 წლის 22 ოქტომბერი
