IDS เทียบกับ IPS
IDS (ระบบตรวจจับการบุกรุก) คือระบบที่ตรวจจับกิจกรรมที่ไม่เหมาะสม ไม่ถูกต้อง หรือผิดปกติในเครือข่ายและรายงาน นอกจากนี้ สามารถใช้ IDS เพื่อตรวจจับว่าเครือข่ายหรือเซิร์ฟเวอร์กำลังประสบปัญหาการบุกรุกโดยไม่ได้รับอนุญาตหรือไม่ IPS (Intrusion Prevention System) คือระบบที่ตัดการเชื่อมต่อการเชื่อมต่อหรือปล่อยแพ็กเก็ต หากมีข้อมูลที่ไม่ได้รับอนุญาต IPS สามารถถูกมองว่าเป็นส่วนขยายของ IDS
IDS
IDS ตรวจสอบเครือข่ายและตรวจจับกิจกรรมที่ไม่เหมาะสม ไม่ถูกต้อง หรือผิดปกติ IDS มีสองประเภทหลัก อย่างแรกคือระบบตรวจจับการบุกรุกเครือข่าย (NIDS)ระบบเหล่านี้จะตรวจสอบการรับส่งข้อมูลในเครือข่ายและตรวจสอบโฮสต์หลายตัวเพื่อระบุการบุกรุก เซ็นเซอร์ถูกใช้เพื่อดักจับการรับส่งข้อมูลในเครือข่าย และแต่ละแพ็กเก็ตจะถูกวิเคราะห์เพื่อระบุเนื้อหาที่เป็นอันตราย ประเภทที่สองคือระบบตรวจจับการบุกรุกบนโฮสต์ (HIDS) HIDS ถูกปรับใช้ในเครื่องโฮสต์หรือเซิร์ฟเวอร์ พวกเขาวิเคราะห์ข้อมูลที่อยู่ภายในเครื่อง เช่น ไฟล์บันทึกของระบบ เส้นทางการตรวจสอบ และการเปลี่ยนแปลงระบบไฟล์เพื่อระบุพฤติกรรมที่ผิดปกติ HIDS เปรียบเทียบโปรไฟล์ปกติของโฮสต์กับกิจกรรมที่สังเกตได้เพื่อระบุความผิดปกติที่อาจเกิดขึ้น ในสถานที่ส่วนใหญ่ อุปกรณ์ที่ติดตั้ง IDS จะถูกวางไว้ระหว่างเราเตอร์ประจำกับไฟร์วอลล์หรือนอกเราเตอร์ประจำ ในบางกรณี อุปกรณ์ที่ติดตั้ง IDS จะถูกวางไว้นอกไฟร์วอลล์และเราเตอร์ประจำโดยมีเจตนาที่จะเห็นการโจมตีที่พยายามอย่างเต็มที่ ประสิทธิภาพเป็นปัญหาสำคัญกับระบบ IDS เนื่องจากใช้กับอุปกรณ์เครือข่ายแบนด์วิธสูง แม้จะมีส่วนประกอบที่มีประสิทธิภาพสูงและซอฟต์แวร์ที่อัปเดตแล้ว IDS ก็มักจะปล่อยแพ็กเก็ตเนื่องจากไม่สามารถจัดการปริมาณงานขนาดใหญ่ได้
IPS
IPS เป็นระบบที่ดำเนินการเพื่อป้องกันการบุกรุกหรือการโจมตีเมื่อระบุตัวตน IPS แบ่งออกเป็นสี่ประเภท อย่างแรกคือ Network-based Intrusion Prevention (NIPS) ซึ่งตรวจสอบเครือข่ายทั้งหมดเพื่อหากิจกรรมที่น่าสงสัย ประเภทที่สองคือระบบ Network Behavior Analysis (NBA) ที่ตรวจสอบกระแสการรับส่งข้อมูลเพื่อตรวจจับกระแสการรับส่งข้อมูลที่ผิดปกติซึ่งอาจเป็นผลมาจากการโจมตี เช่น การปฏิเสธบริการแบบกระจาย (DDoS) ประเภทที่สามคือ Wireless Intrusion Prevention Systems (WIPS) ซึ่งวิเคราะห์เครือข่ายไร้สายสำหรับการรับส่งข้อมูลที่น่าสงสัย ประเภทที่สี่คือ Host-based Intrusion Prevention Systems (HIPS) ซึ่งมีการติดตั้งแพ็คเกจซอฟต์แวร์เพื่อตรวจสอบกิจกรรมของโฮสต์เดียว ดังที่กล่าวไว้ก่อนหน้านี้ IPS ดำเนินการตามขั้นตอน เช่น การทิ้งแพ็กเก็ตที่มีข้อมูลที่เป็นอันตราย การรีเซ็ตหรือบล็อกการรับส่งข้อมูลที่มาจากที่อยู่ IP ที่ละเมิด
IPS กับ IDS ต่างกันอย่างไร
IDS เป็นระบบที่ตรวจสอบเครือข่ายและตรวจจับกิจกรรมที่ไม่เหมาะสม ไม่ถูกต้อง หรือผิดปกติ ในขณะที่ IPS เป็นระบบที่ตรวจจับการบุกรุกหรือการโจมตีและดำเนินการตามขั้นตอนเพื่อป้องกัน ความเคารพหลักระหว่างสองสิ่งนี้ไม่เหมือนกับ IDS เพราะ IPS ดำเนินการอย่างแข็งขันเพื่อป้องกันหรือบล็อกการบุกรุกที่ตรวจพบ ขั้นตอนการป้องกันเหล่านี้รวมถึงกิจกรรมต่างๆ เช่น การวางแพ็คเก็ตที่เป็นอันตราย และการรีเซ็ตหรือบล็อกการรับส่งข้อมูลที่มาจากที่อยู่ IP ที่เป็นอันตราย IPS ถูกมองว่าเป็นส่วนเสริมของ IDS ซึ่งมีความสามารถเพิ่มเติมในการป้องกันการบุกรุกขณะตรวจจับ
