Müdaxilə Aşkarlama Sistemi (IDS)Şəbəkədəki kəşfiyyatçı kimi, əsas funksiyası müdaxilə davranışını tapmaq və həyəcan siqnalı göndərməkdir. Şəbəkə trafikini və ya host davranışını real vaxt rejimində izləməklə, əvvəlcədən təyin edilmiş "hücum imza kitabxanasını" (məsələn, məlum virus kodu, haker hücumu nümunəsi) "normal davranış bazası" (məsələn, normal giriş tezliyi, məlumat ötürülməsi formatı) ilə müqayisə edir və anomaliya aşkar edildikdə dərhal həyəcan siqnalını işə salır və ətraflı qeyd aparır. Məsələn, bir cihaz tez-tez server parolunu kobud güclə sındırmağa çalışdıqda, IDS bu qeyri-adi giriş nümunəsini müəyyən edəcək, tez bir zamanda administratora xəbərdarlıq məlumatı göndərəcək və hücumun IP ünvanı və sonrakı izləmə üçün dəstək təmin etmək cəhdlərinin sayı kimi əsas sübutları saxlayacaq.
Yerləşdirmə yerinə görə, IDS əsasən iki kateqoriyaya bölünə bilər. Şəbəkə IDS-ləri (NIDS) bütün şəbəkə seqmentinin trafikini izləmək və cihazlararası hücum davranışını aşkar etmək üçün şəbəkənin əsas qovşaqlarında (məsələn, şlüzlər, kommutatorlar) yerləşdirilir. Əsas çərçivə IDS-ləri (HIDS) tək bir serverə və ya terminala quraşdırılır və fayl modifikasiyası, prosesin başlaması, portun doluluğu və s. kimi müəyyən bir hostun davranışını izləməyə yönəlmişdir ki, bu da tək bir cihaz üçün müdaxiləni dəqiq şəkildə qeydə ala bilər. Bir elektron ticarət platforması bir dəfə NIDS vasitəsilə qeyri-adi məlumat axını aşkar etdi - çox sayda istifadəçi məlumatı naməlum IP tərəfindən toplu şəkildə yüklənirdi. Vaxtında xəbərdarlıqdan sonra texniki qrup tez bir zamanda zəifliyi kilidlədi və məlumat sızması qəzalarının qarşısını aldı.
Mylinking™ Şəbəkə Paket Brokerləri tətbiqi Müdaxilə Aşkarlama Sistemində (IDS)
Müdaxilənin Qarşısının Alınması Sistemi (IPS)Şəbəkədəki "qoruyucu"dur və IDS-in aşkarlama funksiyası əsasında hücumları aktiv şəkildə ələ keçirmək qabiliyyətini artırır. Zərərli trafik aşkar edildikdə, administratorun müdaxiləsini gözləmədən qeyri-adi əlaqələri kəsmək, zərərli paketləri atmaq, hücum IP ünvanlarını bloklamaq və s. kimi real vaxt rejimində bloklama əməliyyatları yerinə yetirə bilər. Məsələn, IPS ransomware virusunun xüsusiyyətləri ilə bir e-poçt əlavəsinin ötürülməsini müəyyən etdikdə, virusun daxili şəbəkəyə daxil olmasının qarşısını almaq üçün dərhal e-poçtu ələ keçirəcək. DDoS hücumları qarşısında çox sayda saxta sorğunu süzgəcdən keçirə və serverin normal işləməsini təmin edə bilər.
IPS-in müdafiə qabiliyyəti "real vaxt cavab mexanizmi" və "ağıllı yeniləmə sistemi"nə əsaslanır. Müasir IPS, ən son haker hücum metodlarını sinxronlaşdırmaq üçün hücum imzası verilənlər bazasını müntəzəm olaraq yeniləyir. Bəzi yüksək səviyyəli məhsullar həmçinin yeni və naməlum hücumları (məsələn, sıfır günlük istismarlar) avtomatik olaraq müəyyən edə bilən "davranış təhlili və öyrənmə"ni dəstəkləyir. Maliyyə qurumu tərəfindən istifadə edilən IPS sistemi, əsas əməliyyat məlumatlarının dəyişdirilməsinin qarşısını almaq üçün qeyri-adi verilənlər bazası sorğu tezliyini təhlil edərək açıqlanmayan bir zəiflikdən istifadə edərək SQL inyeksiya hücumunu aşkar etdi və blokladı.
IDS və IPS oxşar funksiyalara malik olsalar da, əsas fərqlər var: rol baxımından IDS "passiv monitorinq + xəbərdarlıq"dır və şəbəkə trafikinə birbaşa müdaxilə etmir. Tam audit tələb edən, lakin xidmətə təsir etmək istəməyən ssenarilər üçün uyğundur. IPS "aktiv Müdafiə + Fasilə" deməkdir və hücumları real vaxt rejimində ələ keçirə bilər, lakin normal trafiki səhv qiymətləndirməməsini təmin etməlidir (yalançı müsbət nəticələr xidmətin pozulmasına səbəb ola bilər). Praktik tətbiqlərdə onlar tez-tez "əməkdaşlıq edirlər" -- IDS IPS üçün hücum imzalarını tamamlamaq üçün sübutları hərtərəfli izləmək və saxlamaqdan məsuldur. IPS real vaxt rejimində ələ keçirmə, müdafiə təhdidləri, hücumların yaratdığı itkiləri azaltmaq və "aşkarlama-müdafiə-izlənilə bilmə" tam təhlükəsizlik qapalı döngəsinin formalaşdırılmasından məsuldur.
IDS/IPS müxtəlif ssenarilərdə mühüm rol oynayır: ev şəbəkələrində, marşrutlaşdırıcılara quraşdırılmış hücumların qarşısının alınması kimi sadə IPS imkanları ümumi port skanlarından və zərərli bağlantılardan qoruna bilər; Müəssisə şəbəkəsində daxili serverləri və verilənlər bazalarını hədəf hücumlardan qorumaq üçün peşəkar IDS/IPS cihazlarından istifadə etmək lazımdır. Bulud hesablama ssenarilərində, buludda yerləşən IDS/IPS, kirayəçilər arasında qeyri-adi trafik aşkar etmək üçün elastik şəkildə miqyaslana bilən bulud serverlərinə uyğunlaşa bilər. Haker hücumu metodlarının davamlı olaraq təkmilləşdirilməsi ilə IDS/IPS həmçinin "Süni intellekt ağıllı təhlili" və "çoxölçülü korrelyasiya aşkarlanması" istiqamətində inkişaf edir və şəbəkə təhlükəsizliyinin müdafiə dəqiqliyini və cavab sürətini daha da artırır.
Mylinking™ Şəbəkə Paket Brokerləri tətbiqi Müdaxilənin Qarşısının Alınması Sistemində (IPS)
Yayımlanma vaxtı: 22 oktyabr 2025
