Intrusio Detekzio Sistema (IDS)Sareko esploratzaile baten modukoa da, funtzio nagusia intrusio-portaera aurkitzea eta alarma bidaltzea da. Sareko trafikoa edo ostalariaren portaera denbora errealean monitorizatuz, aurrez ezarritako "eraso-sinadura liburutegia" (birus-kode ezaguna, hackerren eraso-eredua, adibidez) "oinarrizko portaera normalarekin" alderatzen du (sarbide-maiztasun normala, datuen transmisio-formatua, adibidez), eta berehala alarma bat eragiten du eta erregistro zehatza grabatzen du anomalia bat aurkitzen denean. Adibidez, gailu batek zerbitzariaren pasahitza indarrez hausten saiatzen denean maiz, IDS-k saioa hasteko eredu anormal hori identifikatuko du, abisu-informazioa azkar bidaliko dio administratzaileari eta froga garrantzitsuak gordeko ditu, hala nola erasoaren IP helbidea eta saiakera kopurua, ondorengo trazabilitaterako laguntza emateko.
Hedapen-kokapenaren arabera, IDSak bi kategoriatan bana daitezke batez ere. Sareko IDSak (NIDS) sareko nodo nagusietan (adibidez, atebideetan, etengailuetan) zabaltzen dira sare-segmentu osoko trafikoa kontrolatzeko eta gailu arteko erasoen portaera detektatzeko. Mainframe IDSak (HIDS) zerbitzari edo terminal bakar batean instalatzen dira, eta ostalari espezifiko baten portaera kontrolatzean zentratzen dira, hala nola fitxategien aldaketa, prozesuen abiaraztea, portuen okupazioa, etab., eta horrek gailu bakar baten intrusioa zehaztasunez atzeman dezake. Merkataritza elektronikoko plataforma batek behin datu-fluxu anormala aurkitu zuen NIDSen bidez: erabiltzaile-informazio kopuru handia deskargatzen ari zen IP ezezagun batetik. Abisua garaiz eman ondoren, talde teknikoak ahultasuna azkar blokeatu zuen eta datu-ihes istripuak saihestu zituen.
Mylinking™ Network Packet Brokers aplikazioa Intrusio Detekzio Sisteman (IDS)
Intrusioen Prebentzio Sistema (IPS)sareko "zaindaria" da, eta horrek erasoak aktiboki atzemateko gaitasuna handitzen du IDSren detekzio funtzioan oinarrituta. Trafiko gaiztoa detektatzen denean, denbora errealeko blokeatze eragiketak egin ditzake, hala nola konexio anormalak moztu, pakete gaiztoak bota, erasoko IP helbideak blokeatu eta abar, administratzailearen esku-hartzearen zain egon gabe. Adibidez, IPSk ransomware birus baten ezaugarriak dituen posta elektroniko eranskin baten transmisioa identifikatzen duenean, berehala atzemango du posta elektronikoa birusa barne sarera sartzea saihesteko. DDoS erasoen aurrean, eskaera faltsu ugari iragazi eta zerbitzariaren funtzionamendu normala bermatu dezake.
IPSren defentsa gaitasuna "denbora errealeko erantzun mekanismoan" eta "berritze sistema adimentsuan" oinarritzen da. IPS modernoak aldizka eguneratzen du eraso sinaduraren datu-basea, azken hacker eraso metodoak sinkronizatzeko. Goi-mailako produktu batzuek "portaeraren analisia eta ikaskuntza" ere onartzen dute, eta horrek automatikoki identifikatu ditzake eraso berriak eta ezezagunak (zero-day exploit-ak, adibidez). Finantza-erakunde batek erabiltzen duen IPS sistema batek SQL injekzio eraso bat aurkitu eta blokeatu zuen ahultasun ezezagun bat erabiliz, datu-baseko kontsulta maiztasun anormala aztertuz, transakzio-datuen oinarrizko manipulazioa saihestuz.
IDS eta IPS-ek funtzio antzekoak badituzte ere, desberdintasun nagusiak daude: rolaren ikuspuntutik, IDS "monitorizazio pasiboa + alerta" da, eta ez du zuzenean esku hartzen sareko trafikoan. Egokia da auditoria osoa behar duten baina zerbitzuan eraginik izan nahi ez duten eszenatokietarako. IPS "Defentsa aktiboa + Etenaldia" esan nahi du eta erasoak denbora errealean atzeman ditzake, baina ziurtatu behar du trafiko normala gaizki ebaluatzen ez duela (positibo faltsuek zerbitzuaren etenaldiak eragin ditzakete). Aplikazio praktikoetan, askotan "elkarlanean" aritzen dira -- IDS arduratzen da frogak modu integralean monitorizatzeaz eta gordetzeaz, IPS-ren eraso-sinadurak osatzeko. IPS arduratzen da denbora errealeko atzemateaz, defentsa-mehatxuez, erasoek eragindako galerak murrizteaz eta "detekzio-defentsa-trazabilitate" segurtasun-zirkuitu itxi oso bat osatzeaz.
IDS/IPS-ek paper garrantzitsua betetzen du hainbat egoeratan: etxeko sareetan, bideratzaileetan integratutako erasoen interzepzioa bezalako IPS gaitasun sinpleek ataka-eskaneatze arrunten eta esteka gaiztoen aurka defendatu dezakete; enpresa-sarean, IDS/IPS gailu profesionalak zabaldu behar dira barneko zerbitzariak eta datu-baseak eraso zuzenduetatik babesteko. Hodeiko konputazio-egoeretan, hodeiko IDS/IPS-ek eskala elastikoko hodeiko zerbitzarietara egokitu daitezke maizterren arteko trafiko anormala detektatzeko. Hackerren eraso-metodoen etengabeko hobekuntzarekin, IDS/IPS "IA analisi adimenduna" eta "dimentsio anitzeko korrelazio-detekzioa" norabidean ere garatzen ari da, sareko segurtasunaren defentsaren zehaztasuna eta erantzun-abiadura are gehiago hobetuz.
Mylinking™ Network Packet Brokers aplikazioa Intrusioen Prebentzio Sisteman (IPS)
Argitaratze data: 2025eko urriaren 22a
