Saldırı tespit ve önleme sistemleri, bir ağdaki tüm etkinlikleri gözlemler, bu etkinliğin kayıtlarını tutar ve izinsiz girişleri ve saldırıları arar. Saldırı tespiti ve önleme çözümleri ayrı ayrı veya birlikte uygulanabilir, ancak her ikisine de sahip olmak genellikle daha faydalıdır çünkü hem algılama hem de yanıt ağ güvenliği için önemlidir. Zamanla, saldırı tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS), saldırı tespit ve önleme sistemleri (IDPS) haline gelmek için birleşti.
IDS
Saldırı tespit sistemleri, ağ trafiğini izler ve örüntüler için çalışılabilen tüm etkinliği sistem günlüklerine kaydeder. Bir saldırı tespit sistemi, ağ aktivitesini inceleme ve ardından olağandışı davranışları tespit etme kabiliyetiyle bilinir. Ağı, solucanların veya virüslerin özellikleri de dahil olmak üzere farklı trafik modelleri için gözlemler ve BT ekiplerini veya yöneticilerini şüpheli etkinlik veya saldırılara karşı uyarır. IDS, belirli normal ağ davranışını ve tipik olarak ağın bölümlerinde meydana gelenleri beklemek üzere programlanabilir; Anormallik algılama özelliği, programlamayla uyuşmayan karakteristik olmayan eylemleri işaretler.
IDS, izinsiz girişin neye benzediğini görür ve yeni bir modelin izinsiz giriş olup olmadığını görmek için izinsiz giriş imzaları adı verilen önceki kayıtları kullanır. IDS bu verilere ağın tuttuğu günlük dosyaları aracılığıyla erişir. Ancak bu bir saldırı tespit sisteminin zayıflığıdır ve zaten gerçekleşmiş olan izinsiz girişleri gözlemlemekle sınırlıdır.
IDS yazılımının farklı seviyeleri ve fiyatları vardır; bir bilgisayar sistemine donanım olarak da kurulabilir.
IPS
Saldırı önleme sistemleri ağ trafiğini analiz eder, istekleri filtreler ve isteklere uygun şekilde izin verir veya bunları engeller. IPS, davranışa yanıt verebildiği için IDS'den daha proaktiftir. Ancak BT ekipleri için bunaltıcı olabilir, çünkü herhangi bir tuhaf faaliyet, hatta zararsız bile olsa, teknoloji personelini uyarılarla aşırı yükleyecektir. Bir IPS akıllı değilse ve ağ etkinliğini iyi yorumlayamazsa, insanların sistem uyarıları barajını aşması neredeyse imkansız olacaktır.
İzinsiz girişi önleme sistemleri yanlış pozitiflere ve negatiflere eğilimli olabilir: yanlış pozitif, şüpheli görünen meşru bir paketi engeller ve yanlış negatif, kötü amaçlı trafiği kaçırır. İzinsiz girişi önlemede uygulanan makine öğrenimi, teknoloji ağ modellerini daha iyi öğrenirse ve gerçek sorunları daha doğru tespit ederse sistemin daha doğru olmasına yardımcı olabilir. Daha gelişmiş otomasyon, yanlış pozitif ve negatiflerin sayısını azaltabilir. Güvenlik ekiplerinin yanlış veya önemsiz uyarıları tetiklemekten kaçınmak için genellikle kuralları iyileştirmesi gerekir.
İzinsiz girişi önleme hizmetleri ağ tabanlı veya ana bilgisayar tabanlı olabilir. Ağ tabanlı IPS, güvenlik duvarının yanında bulunur ve ağ trafiğini izler. Ana bilgisayar tabanlı IPS, bir bilgisayara veya başka bir uç noktaya daha yakındır (ana bilgisayarın yakınında).
Hem saldırı tespit hem de önleme sistemlerini (IDPS) kullanma
Daha önce de belirtildiği gibi, saldırı tespiti ve önleme genellikle otomatik olarak bir araya getirilir, ancak bunlar ayrı çözümler olarak uygulanabilir. Bununla birlikte, birlikte daha etkilidirler. Sistem bir saldırganı izlemek ve bastırmak için harekete geçemezse, bir uygulamanın günlük dosyasında olası anormal etkinliği tespit etmek pek işe yaramaz. Ve tüm ağ trafiğini izleyecek bir yazılım olmadan, önleme sistemleri kötü amaçlı faaliyeti etkili bir şekilde bulamayacaktır. IDPS tüm ağ güvenliği için mükemmel bir çözüm olmasa da, bunlardan birini kullanmayı planlıyorsanız, hem algılama hem de önleme uygulamak en iyisidir.