Халдлага илрүүлэх систем (IDS)Сүлжээнд байгаа скауттай адил гол үүрэг нь халдлагын зан төлөвийг олж, дохиолол илгээх явдал юм. Сүлжээний урсгал эсвэл хостын зан төлөвийг бодит цаг хугацаанд хянаснаар урьдчилан тохируулсан "халдлагын гарын үсгийн сан" (мэдэгдэж буй вирусын код, хакерын халдлагын хэв маяг гэх мэт)-ийг "хэвийн зан төлөвийн суурь" (хэвийн хандалтын давтамж, өгөгдөл дамжуулах формат гэх мэт)-тэй харьцуулж, аномали илэрмэгц дохиоллыг нэн даруй идэвхжүүлж, нарийвчилсан бүртгэлийг бүртгэдэг. Жишээлбэл, төхөөрөмж серверийн нууц үгийг байнга хүчээр эвдэхийг оролдох үед IDS нь энэхүү хэвийн бус нэвтрэх хэв маягийг тодорхойлж, анхааруулах мэдээллийг администраторт хурдан илгээж, халдлагын IP хаяг болон дараагийн мөрдөх боломжийг дэмжих оролдлогын тоо зэрэг гол нотолгоог хадгалдаг.
Байршуулах байршлын дагуу IDS-ийг голчлон хоёр ангилалд хувааж болно. Сүлжээний IDS (NIDS)-ийг сүлжээний бүх сегментийн урсгалыг хянах, төхөөрөмж хоорондын халдлагын зан төлөвийг илрүүлэхийн тулд сүлжээний гол зангилаануудад (жишээ нь, гарц, унтраалга) байрлуулдаг. Mainframe IDS (HIDS)-ийг нэг сервер эсвэл терминал дээр суулгасан бөгөөд файлын өөрчлөлт, процессыг эхлүүлэх, портын эзэлхүүн гэх мэт тодорхой хостын зан төлөвийг хянах зорилготой бөгөөд энэ нь нэг төхөөрөмжийн халдлагыг нарийн тодорхойлж чаддаг. Цахим худалдааны платформ нэгэнтээ NIDS-ээр дамжин хэвийн бус өгөгдлийн урсгалыг илрүүлсэн -- олон тооны хэрэглэгчийн мэдээллийг үл мэдэгдэх IP хаягаар бөөнөөр нь татаж авч байсан. Цаг тухайд нь анхааруулсны дараа техникийн баг эмзэг байдлыг хурдан түгжиж, өгөгдлийн алдагдлын ослоос зайлсхийсэн.
Халдлага илрүүлэх систем (IDS) дахь Mylinking™ сүлжээний пакет зуучлагчийн програм
Халдлагаас урьдчилан сэргийлэх систем (IPS)нь сүлжээнд "хамгаалагч" бөгөөд IDS-ийн илрүүлэх функцийн үндсэн дээр халдлагыг идэвхтэй таслан зогсоох чадварыг нэмэгдүүлдэг. Хортой урсгал илэрсэн үед админы оролцоог хүлээлгүйгээр хэвийн бус холболтыг таслах, хортой пакетуудыг хаах, халдлагын IP хаягийг хаах гэх мэт бодит цагийн хаах үйлдлүүдийг гүйцэтгэж чадна. Жишээлбэл, IPS нь ransomware вирусын шинж чанартай имэйл хавсралтын дамжуулалтыг тодорхойлсон үед вирусыг дотоод сүлжээнд нэвтрэхээс урьдчилан сэргийлэхийн тулд имэйлийг шууд таслан зогсооно. DDoS халдлагын өмнө энэ нь олон тооны хуурамч хүсэлтийг шүүж, серверийн хэвийн ажиллагааг хангах боломжтой.
IPS-ийн хамгаалалтын чадвар нь "бодит цагийн хариу үйлдлийн механизм" болон "ухаалаг шинэчлэлтийн систем" дээр суурилдаг. Орчин үеийн IPS нь хакерын халдлагын хамгийн сүүлийн үеийн аргуудыг синхрончлохын тулд халдлагын гарын үсгийн мэдээллийн санг тогтмол шинэчилдэг. Зарим өндөр зэрэглэлийн бүтээгдэхүүнүүд нь шинэ болон үл мэдэгдэх халдлагуудыг (жишээлбэл, тэг өдрийн эксплойт) автоматаар тодорхойлж чаддаг "зан үйлийн шинжилгээ ба суралцах"-ыг дэмждэг. Санхүүгийн байгууллагын ашигладаг IPS систем нь мэдээллийн сангийн хэвийн бус асуулгын давтамжийг шинжилж, үндсэн гүйлгээний өгөгдлийг өөрчлөхөөс сэргийлж, тодорхойгүй эмзэг байдлыг ашиглан SQL тарилгын халдлагыг илрүүлж, хаасан.
Хэдийгээр IDS болон IPS нь ижил төстэй функцтэй боловч гол ялгаанууд байдаг: үүргийн үүднээс авч үзвэл IDS нь "идэвхгүй хяналт + сэрэмжлүүлэг" бөгөөд сүлжээний урсгалд шууд нөлөөлдөггүй. Энэ нь бүрэн аудит шаардлагатай боловч үйлчилгээнд нөлөөлөхийг хүсдэггүй тохиолдолд тохиромжтой. IPS нь "идэвхтэй хамгаалалт + завсарлага" гэсэн утгатай бөгөөд халдлагыг бодит цаг хугацаанд таслан зогсоох боломжтой боловч хэвийн урсгалыг буруу үнэлэхгүй байх ёстой (худал эерэг үр дүн нь үйлчилгээний тасалдалд хүргэж болзошгүй). Практик хэрэглээнд тэд ихэвчлэн "хамтран ажилладаг" -- IDS нь IPS-ийн халдлагын гарын үсгийг нөхөхийн тулд нотлох баримтыг цогцоор нь хянах, хадгалах үүрэгтэй. IPS нь бодит цагийн таслан зогсоох, хамгаалалтын аюул заналхийлэл, халдлагаас үүдэлтэй алдагдлыг бууруулах, "илрүүлэх-хамгаалалт-мөрдөх чадвар" гэсэн бүрэн аюулгүй байдлын хаалттай гогцоог бүрдүүлэх үүрэгтэй.
IDS/IPS нь янз бүрийн нөхцөл байдалд чухал үүрэг гүйцэтгэдэг: гэрийн сүлжээнд чиглүүлэгчдэд суурилуулсан халдлагыг таслан зогсоох гэх мэт энгийн IPS боломжууд нь нийтлэг порт сканнердах болон хортой холбоосуудаас хамгаалж чаддаг; Байгууллагын сүлжээнд дотоод серверүүд болон мэдээллийн санг зорилтот халдлагаас хамгаалахын тулд мэргэжлийн IDS/IPS төхөөрөмжүүдийг байршуулах шаардлагатай. Үүлэн тооцооллын нөхцөлд үүлэн дээр суурилсан IDS/IPS нь түрээслэгчдийн хоорондох хэвийн бус урсгалыг илрүүлэхийн тулд уян хатан өргөтгөх боломжтой үүлэн серверүүдэд дасан зохицож чаддаг. Хакерын халдлагын аргуудыг тасралтгүй сайжруулснаар IDS/IPS нь "хиймэл оюун ухааны ухаалаг шинжилгээ" болон "олон хэмжээст корреляцийг илрүүлэх" чиглэлд хөгжиж байгаа бөгөөд энэ нь сүлжээний аюулгүй байдлын хамгаалалтын нарийвчлал болон хариу үйлдлийн хурдыг улам сайжруулж байна.
Халдлагаас урьдчилан сэргийлэх систем (IPS) дахь Mylinking™ сүлжээний пакет зуучлагчийн програм
Нийтэлсэн цаг: 2025 оны 10-р сарын 22
