IPS là hệ thống gì? So sánh IDS và IPS – cách phát hiện và phòng ngừa Update 11/2024

Các thuật ngữ công nghệ như IDS và IPS không phải là mới nhưng không phải ai cũng biết vì vậy chúng tôi viết bài viết IPS là hệ thống gì? So sánh IDS và IPS hi vọng sẽ mang đến cho các bạn các kiến thức hữu ích nhất .

Hệ thống ips/ids là gì?

IPS (intrusion prevention systems) là hệ thống gì?

IPS được biết tắt bởi từ tiếng anh là Intrusion Prevention Systems (IPS) là một công nghệ phòng chống an ninh mạng. Mối đe dọa rằng giao thông kiểm tra mạng lưới luồng để phát hiện và ngăn chặn khai thác lỗ hổng. Khai thác lỗ hổng thường xuất hiện dưới dạng đầu vào độc hại cho ứng dụng hoặc dịch vụ mục tiêu mà kẻ tấn công sử dụng để làm gián đoạn và giành quyền kiểm soát ứng dụng hoặc máy. Sau khi khai thác thành công, kẻ tấn công có thể vô hiệu hóa ứng dụng đích (dẫn đến trạng thái từ chối dịch vụ ) hoặc có khả năng truy cập tất cả các quyền và quyền có sẵn cho ứng dụng bị xâm nhập.

IDS (intrusion detection system) là hệ thống gì?

IDS được biết ngắn gọn của từ Intrusion detection System đây là một công nghệ phát hiện xâm nhập. Ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động xâm nhập không mong muốn đối với hệ thống máy tính.

So sánh IDS và IPS

Cả IDS / IPS đều đọc các gói mạng và so sánh nội dung với cơ sở dữ liệu về các mối đe dọa đã biết. Sự khác biệt chính giữa chúng là những gì xảy ra tiếp theo. IDS là các công cụ phát hiện và giám sát không tự mình thực hiện. IPS là một hệ thống điều khiển chấp nhận hoặc từ chối một gói dựa trên bộ quy tắc.

so-sanh-ids-va-ips

IDS yêu cầu con người hoặc hệ thống khác xem xét kết quả và xác định hành động nào cần thực hiện tiếp theo, đây có thể là công việc toàn thời gian tùy thuộc vào lượng lưu lượng truy cập mạng được tạo ra mỗi ngày. IDS làm cho một công cụ pháp y sau khám nghiệm tử thi tốt hơn để CSIRT sử dụng như một phần của các cuộc điều tra sự cố an ninh của họ.

Mục đích của IPS, mặt khác, là để bắt các gói nguy hiểm và thả chúng trước khi chúng đến mục tiêu của chúng. Nó thụ động hơn IDS, chỉ cần yêu cầu cơ sở dữ liệu được cập nhật thường xuyên với dữ liệu mối đe dọa mới.

* Điểm nhấn mạnh: IDS / IPS chỉ hiệu quả như cơ sở dữ liệu tấn công mạng của họ. Luôn cập nhật chúng và sẵn sàng thực hiện các điều chỉnh thủ công khi một cuộc tấn công mới nổ ra trong tự nhiên và / hoặc chữ ký tấn công không có trong cơ sở dữ liệu.

Cách phòng ngừa và phát hiện xâm nhập

Phòng ngừa

IPS thường nằm ngay sau tường lửa và cung cấp một lớp phân tích bổ sung, lựa chọn tiêu cực cho nội dung nguy hiểm. Không giống như người tiền nhiệm của nó,  Hệ thống phát hiện xâm nhập  (IDS) là một hệ thống thụ động quét lưu lượng và báo cáo lại các mối đe dọa. IPS được đặt nội tuyến (trong đường dẫn liên lạc trực tiếp giữa nguồn và đích), chủ động phân tích và thực hiện các hành động tự động trên tất cả luồng lưu lượng truy cập vào mạng. Cụ thể, những hành động này bao gồm:

  • Gửi một báo động cho quản trị viên (như sẽ thấy trong IDS)
  • Bỏ các gói độc hại
  • Chặn lưu lượng truy cập từ địa chỉ nguồn
  • Đặt lại kết nối

Là một thành phần bảo mật nội tuyến, IPS phải hoạt động hiệu quả để tránh làm giảm hiệu suất mạng. Nó cũng phải hoạt động nhanh vì khai thác có thể xảy ra trong thời gian gần. IPS cũng phải phát hiện và phản hồi chính xác, để loại bỏ các mối đe dọa và dương tính giả (các gói hợp pháp bị đọc nhầm thành các mối đe dọa).

Phát hiện

IPS có một số phương pháp phát hiện để tìm kiếm khai thác, nhưng phát hiện dựa trên chữ ký và phát hiện dựa trên thống kê là hai cơ chế chi phối.

Phát hiện dựa trên chữ ký  được dựa trên một từ điển các mẫu (hoặc chữ ký) duy nhất trong mã của mỗi khai thác. Khi khai thác được phát hiện, chữ ký của nó được ghi lại và lưu trữ trong một từ điển chữ ký phát triển liên tục. Phát hiện chữ ký cho IPS được chia thành hai loại:

  1. Chữ ký đối diện khai thác xác định các khai thác riêng lẻ bằng cách kích hoạt các mẫu duy nhất của một nỗ lực khai thác cụ thể. IPS có thể xác định các khai thác cụ thể bằng cách tìm kết quả khớp với chữ ký đối diện khai thác trong luồng lưu lượng
  2. Chữ ký dễ bị tổn thương là chữ ký rộng hơn nhắm vào lỗ hổng cơ bản trong hệ thống đang được nhắm mục tiêu. Những chữ ký này cho phép các mạng được bảo vệ khỏi các biến thể của một khai thác có thể không được quan sát trực tiếp trong tự nhiên, nhưng cũng làm tăng nguy cơ dương tính giả.

Phát hiện bất thường thống kê  lấy các mẫu lưu lượng mạng một cách ngẫu nhiên và so sánh chúng với mức hiệu suất cơ sở được tính toán trước. Khi mẫu hoạt động lưu lượng mạng nằm ngoài các tham số về hiệu suất cơ sở, IPS sẽ hành động để xử lý tình huống.