Sustav za detekciju upada (IDS)je poput izviđača u mreži, glavna funkcija mu je pronaći ponašanje upada i poslati alarm. Praćenjem mrežnog prometa ili ponašanja hosta u stvarnom vremenu, uspoređuje unaprijed postavljenu "biblioteku potpisa napada" (kao što je poznati virusni kod, obrazac hakerskog napada) s "normalnom osnovnom linijom ponašanja" (kao što je normalna učestalost pristupa, format prijenosa podataka) i odmah aktivira alarm i bilježi detaljan zapisnik nakon što se pronađe anomalija. Na primjer, kada uređaj često pokušava probiti lozinku poslužitelja brutalnom silom, IDS će identificirati ovaj abnormalni obrazac prijave, brzo poslati upozorenja administratoru i zadržati ključne dokaze kao što su IP adresa napada i broj pokušaja kako bi pružio podršku za naknadno praćenje.
Prema lokaciji implementacije, IDS se uglavnom može podijeliti u dvije kategorije. Mrežni IDS (NIDS) se postavljaju na ključnim čvorovima mreže (npr. pristupnici, preklopnici) kako bi pratili promet cijelog mrežnog segmenta i otkrili ponašanje napada na više uređaja. Mainframe IDS (HIDS) se instaliraju na jednom poslužitelju ili terminalu i fokusiraju se na praćenje ponašanja određenog hosta, kao što su modifikacija datoteka, pokretanje procesa, zauzetost portova itd., što može točno uhvatiti upad za jedan uređaj. Platforma za e-trgovinu jednom je otkrila abnormalni protok podataka kroz NIDS -- velika količina korisničkih informacija preuzimana je s nepoznate IP adrese odjednom. Nakon pravovremenog upozorenja, tehnički tim je brzo zaključao ranjivost i izbjegao nesreće s curenjem podataka.
Mylinking™ aplikacija Network Packet Brokers u sustavu za detekciju upada (IDS)
Sustav za sprječavanje upada (IPS)je "čuvar" u mreži, što povećava sposobnost aktivnog presretanja napada na temelju funkcije detekcije IDS-a. Kada se otkrije zlonamjerni promet, može izvršiti operacije blokiranja u stvarnom vremenu, kao što su prekidanje abnormalnih veza, odbacivanje zlonamjernih paketa, blokiranje IP adresa napada i tako dalje, bez čekanja na intervenciju administratora. Na primjer, kada IPS identificira prijenos privitka e-pošte s karakteristikama ransomware virusa, odmah će presresti e-poštu kako bi spriječio ulazak virusa u unutarnju mrežu. U slučaju DDoS napada, može filtrirati veliki broj lažnih zahtjeva i osigurati normalan rad poslužitelja.
Obrambena sposobnost IPS-a oslanja se na "mehanizam odgovora u stvarnom vremenu" i "inteligentni sustav nadogradnje". Moderni IPS redovito ažurira bazu podataka potpisa napada kako bi sinkronizirao najnovije metode hakerskih napada. Neki vrhunski proizvodi također podržavaju "analizu i učenje ponašanja", što može automatski identificirati nove i nepoznate napade (poput zero-day exploita). IPS sustav koji koristi financijska institucija pronašao je i blokirao napad SQL injekcijom koristeći neotkrivenu ranjivost analizirajući abnormalnu učestalost upita u bazu podataka, sprječavajući neovlašteno mijenjanje osnovnih podataka o transakcijama.
Iako IDS i IPS imaju slične funkcije, postoje ključne razlike: iz perspektive uloge, IDS je "pasivno praćenje + uzbunjivanje" i ne intervenira izravno u mrežni promet. Prikladan je za scenarije koji zahtijevaju potpunu reviziju, ali ne žele utjecati na uslugu. IPS je kratica za "aktivnu obranu + prekid" i može presresti napade u stvarnom vremenu, ali mora osigurati da ne pogrešno procijeni normalan promet (lažno pozitivni rezultati mogu uzrokovati prekide usluge). U praktičnim primjenama često "surađuju" -- IDS je odgovoran za sveobuhvatno praćenje i zadržavanje dokaza kako bi nadopunio potpise napada za IPS. IPS je odgovoran za presretanje u stvarnom vremenu, obrambene prijetnje, smanjenje gubitaka uzrokovanih napadima i formiranje potpune sigurnosne zatvorene petlje "otkrivanje-obrana-sljedivost".
IDS/IPS igra važnu ulogu u različitim scenarijima: u kućnim mrežama, jednostavne IPS mogućnosti poput presretanja napada ugrađenih u usmjerivače mogu se obraniti od uobičajenih skeniranja portova i zlonamjernih veza; u poslovnoj mreži potrebno je implementirati profesionalne IDS/IPS uređaje za zaštitu internih poslužitelja i baza podataka od ciljanih napada. U scenarijima računarstva u oblaku, IDS/IPS nativni u oblaku mogu se prilagoditi elastično skalabilnim poslužiteljima u oblaku kako bi otkrili abnormalni promet među korisnicima. S kontinuiranim unapređenjem metoda hakerskih napada, IDS/IPS se također razvija u smjeru "inteligentne AI analize" i "detekcije višedimenzionalne korelacije", dodatno poboljšavajući točnost obrane i brzinu odziva mrežne sigurnosti.
Mylinking™ aplikacija Network Packet Brokers u sustavu za sprječavanje upada (IPS)
Vrijeme objave: 22. listopada 2025.
