Өнөөгийн дижитал эрин зуунд сүлжээний аюулгүй байдал нь аж ахуйн нэгж, хувь хүмүүсийн тулгарах ёстой чухал асуудал болоод байна. Сүлжээний халдлагууд тасралтгүй хөгжиж байгаа тул аюулгүй байдлын уламжлалт арга хэмжээ хангалтгүй болсон. Энэ хүрээнд The Times сонины шаардлагын дагуу халдлага илрүүлэх систем (IDS) болон халдлагаас урьдчилан сэргийлэх систем (IPS) нь сүлжээний аюулгүй байдлын салбарт хоёр гол хамгаалагч болж байна. Эдгээр нь ижил төстэй мэт санагдаж болох ч үйл ажиллагаа, хэрэглээний хувьд эрс ялгаатай. Энэхүү нийтлэл нь IDS ба IPS-ийн ялгааг гүнзгий судалж, сүлжээний аюулгүй байдлын эдгээр хоёр хамгаалагчийн нууцыг задлах болно.
IDS: Сүлжээний аюулгүй байдлын скаут
1. IDS халдлагыг илрүүлэх системийн (IDS) үндсэн ойлголтууднь сүлжээний траффикийг хянах, болзошгүй хорлонтой үйл ажиллагаа, зөрчлийг илрүүлэх зорилготой сүлжээний аюулгүй байдлын төхөөрөмж эсвэл програм хангамж юм. Сүлжээний пакетууд, бүртгэлийн файлууд болон бусад мэдээлэлд дүн шинжилгээ хийснээр IDS нь хэвийн бус урсгалыг тодорхойлж, холбогдох эсрэг арга хэмжээ авахыг админуудад анхааруулдаг. IDS-ийг сүлжээн дэх хөдөлгөөн бүрийг ажигладаг анхааралтай скаут гэж төсөөлөөд үз дээ. Сүлжээнд сэжигтэй үйлдэл гарсан тохиолдолд IDS нь анх удаа илрүүлж, анхааруулга өгөх боловч идэвхтэй арга хэмжээ авахгүй. Түүний үүрэг бол "асуудлыг шийдвэрлэх" биш, харин "асуудлыг олох" юм.
2. IDS хэрхэн ажилладаг вэ IDS хэрхэн ажилладаг вэ гэдэг нь үндсэндээ дараах техникт тулгуурладаг.
Гарын үсэг илрүүлэх:IDS нь мэдэгдэж байгаа халдлагын гарын үсгийг агуулсан гарын үсгийн томоохон мэдээллийн сантай. Сүлжээний урсгал мэдээллийн сан дахь гарын үсэгтэй таарч байвал IDS нь дохио өгдөг. Энэ нь цагдаа нар сэжигтнийг илрүүлэхийн тулд хурууны хээний мэдээллийн санг ашигладагтай адил бөгөөд үр дүнтэй боловч мэдэгдэж буй мэдээллээс хамааралтай байдаг.
Аномали илрүүлэх:IDS нь сүлжээний хэвийн зан үйлийн хэв маягийг судалж, ердийн загвараас гажсан урсгалыг олж мэдсэний дараа үүнийг болзошгүй аюул гэж үздэг. Жишээлбэл, хэрэв ажилтны компьютер шөнийн цагаар гэнэт их хэмжээний өгөгдөл илгээдэг бол IDS нь хэвийн бус үйлдлийг тэмдэглэж болно. Энэ нь хөршийн өдөр тутмын үйл ажиллагааг мэддэг, гажиг илэрсэн үед сэрэмжтэй байх туршлагатай хамгаалагчтай адил юм.
Протоколын шинжилгээ:IDS нь сүлжээний протоколуудад гүнзгий дүн шинжилгээ хийж, зөрчил, хэвийн бус протокол ашиглалт байгаа эсэхийг илрүүлэх болно. Жишээлбэл, хэрэв тодорхой пакетийн протоколын формат стандартад нийцэхгүй бол IDS үүнийг болзошгүй халдлага гэж үзэж болно.
3. Давуу болон сул талууд
IDS-ийн давуу тал:
Бодит цагийн хяналт:IDS нь аюулгүй байдлын аюулыг цаг тухайд нь илрүүлэхийн тулд сүлжээний урсгалыг бодит цаг хугацаанд хянах боломжтой. Нойргүй манаач шиг сүлжээний аюулгүй байдлыг үргэлж хамгаалаарай.
Уян хатан байдал:IDS-ийг хил хязгаар, дотоод сүлжээ гэх мэт сүлжээний өөр өөр байршилд байрлуулж, олон түвшний хамгаалалтыг хангадаг. Энэ нь гадны халдлага эсвэл дотоод аюул байгаа эсэхээс үл хамааран IDS үүнийг илрүүлж чадна.
Үйл явдлын бүртгэл:IDS нь үхлийн дараах шинжилгээ, шүүх шинжилгээнд зориулж сүлжээний үйл ажиллагааны нарийвчилсан бүртгэлийг бүртгэх боломжтой. Энэ нь сүлжээн дэх нарийн ширийн зүйлийг бүртгэдэг үнэнч бичээчтэй адил юм.
IDS-ийн сул талууд:
Хуурамч эерэг байдлын өндөр хувь:IDS нь гарын үсэг болон гажиг илрүүлэхэд тулгуурладаг тул ердийн урсгалыг хортой үйлдэл гэж буруу дүгнэж, хуурамч эерэг үр дүнд хүргэдэг. Хүргэгчийг хулгайч гэж андуурч мэдэх хэт мэдрэмтгий хамгаалалтын ажилтан шиг.
Идэвхтэй хамгаалах боломжгүй:IDS нь зөвхөн сэрэмжлүүлэгийг илрүүлж, өсгөх боломжтой боловч хортой урсгалыг идэвхтэйгээр хааж чадахгүй. Асуудал илэрсэн тохиолдолд администраторын гараар хөндлөнгөөс оролцох шаардлагатай бөгөөд энэ нь хариу өгөх хугацааг уртасгахад хүргэдэг.
Нөөцийн ашиглалт:IDS нь их хэмжээний сүлжээний урсгалд дүн шинжилгээ хийх шаардлагатай бөгөөд энэ нь системийн нөөцийг их хэмжээгээр эзэлдэг, ялангуяа ачаалал ихтэй орчинд.
IPS: Сүлжээний аюулгүй байдлын "хамгаалагч"
1. IPS халдлагаас урьдчилан сэргийлэх системийн үндсэн ойлголт (IPS)нь IDS-ийн үндсэн дээр боловсруулсан сүлжээний аюулгүй байдлын төхөөрөмж эсвэл програм хангамжийн програм юм. Энэ нь зөвхөн хортой үйлдлүүдийг илрүүлэхээс гадна бодит цаг хугацаанд нь урьдчилан сэргийлэх, сүлжээг халдлагаас хамгаалах боломжтой. Хэрэв IDS бол скаут бол IPS бол зоригтой хамгаалагч юм. Энэ нь дайсныг илрүүлээд зогсохгүй дайсны довтолгоог зогсоох санаачлагыг гартаа авч чадна. IPS-ийн зорилго нь бодит цагийн хөндлөнгийн оролцоогоор сүлжээний аюулгүй байдлыг хамгаалахын тулд "асуудлыг олж засварлах" явдал юм.
2. IPS хэрхэн ажилладаг
IDS-ийн илрүүлэх функц дээр үндэслэн IPS нь дараах хамгаалалтын механизмыг нэмдэг.
Замын хөдөлгөөнийг хориглох:IPS нь хортой урсгалыг илрүүлэх үед тэр даруй сүлжээнд нэвтрэхээс сэргийлж энэ урсгалыг хааж болно. Жишээлбэл, хэрэв мэдэгдэж буй эмзэг байдлыг ашиглахыг оролдсон пакет олдвол IPS үүнийг зүгээр л хаях болно.
Сеанс дуусгавар болох:IPS нь хортой хост хоорондын сессийг зогсоож, халдагчийн холболтыг таслах боломжтой. Жишээлбэл, хэрэв IPS нь IP хаяг дээр bruteforce халдлага үйлдэж байгааг илрүүлбэл тэр IP-тэй харилцах харилцааг зүгээр л салгах болно.
Агуулгын шүүлтүүр:IPS нь хортой код эсвэл өгөгдөл дамжуулахыг хориглохын тулд сүлжээний траффик дээр контент шүүлт хийх боломжтой. Жишээлбэл, хэрэв цахим шуудангийн хавсралтад хортой програм байгаа нь тогтоогдвол IPS энэ имэйлийг дамжуулахыг хориглоно.
IPS хаалгач шиг ажилладаг бөгөөд сэжигтэй хүмүүсийг олж харахаас гадна тэднийг эргүүлж өгдөг. Энэ нь хурдан хариу үйлдэл үзүүлдэг бөгөөд аюулыг тархахаас нь өмнө дарж чаддаг.
3. IPS-ийн давуу болон сул талууд
IPS-ийн давуу талууд:
Идэвхтэй хамгаалалт:IPS нь бодит цаг хугацаанд хортой урсгалаас сэргийлж, сүлжээний аюулгүй байдлыг үр дүнтэй хамгаалж чадна. Энэ нь дайснуудыг ойртохоос нь өмнө няцаах чадвартай, сайн бэлтгэгдсэн харуул шиг юм.
Автомат хариу үйлдэл:IPS нь урьдчилан тодорхойлсон хамгаалалтын бодлогыг автоматаар хэрэгжүүлж, админуудын ачааллыг бууруулдаг. Жишээлбэл, DDoS халдлага илэрсэн үед IPS нь холбогдох урсгалыг автоматаар хязгаарлаж чаддаг.
Гүн хамгаалалт:IPS нь галт хана, хамгаалалтын гарц болон бусад төхөөрөмжтэй хамтран ажиллаж, хамгаалалтыг илүү гүнзгийрүүлж чадна. Энэ нь зөвхөн сүлжээний хил хязгаарыг хамгаалахаас гадна дотоод чухал хөрөнгийг хамгаалдаг.
IPS-ийн сул талууд:
Хуурамч блоклох эрсдэл:IPS нь ердийн урсгалыг санамсаргүйгээр хааж, сүлжээний хэвийн үйл ажиллагаанд сөргөөр нөлөөлж болзошгүй. Жишээлбэл, хууль ёсны урсгалыг хорлонтой гэж буруу ангилсан бол энэ нь үйлчилгээний тасалдал үүсгэж болзошгүй.
Гүйцэтгэлийн нөлөө:IPS нь сүлжээний траффикийг бодит цагийн дүн шинжилгээ хийх, боловсруулах шаардлагатай бөгөөд энэ нь сүлжээний гүйцэтгэлд тодорхой хэмжээгээр нөлөөлдөг. Ялангуяа замын хөдөлгөөний ачаалал ихтэй нөхцөлд энэ нь саатал нэмэгдэхэд хүргэдэг.
Нарийн төвөгтэй тохиргоо:IPS-ийн тохиргоо, засвар үйлчилгээ нь харьцангуй төвөгтэй бөгөөд мэргэжлийн боловсон хүчнийг удирдахыг шаарддаг. Хэрэв энэ нь зөв тохируулагдаагүй бол хамгаалалтын үр нөлөө муу эсвэл хуурамч блоклох асуудлыг улам хүндрүүлнэ.
IDS ба IPS хоёрын ялгаа
Хэдийгээр IDS болон IPS нь нэрний хувьд зөвхөн нэг үгийн зөрүүтэй боловч үйл ажиллагаа, хэрэглээний хувьд чухал ялгаа байдаг. IDS ба IPS хоёрын гол ялгаанууд энд байна.
1. Функциональ байрлал
IDS: Энэ нь үндсэндээ идэвхгүй хамгаалалтад хамаарах сүлжээн дэх аюулгүй байдлын аюулыг хянах, илрүүлэхэд ашиглагддаг. Энэ нь скаут шиг аашилж, дайсныг хараад түгшүүрийн дохио өгдөг ч довтлох санаачилга гаргадаггүй.
IPS: Идэвхтэй хамгаалалтын функцийг IDS-д нэмсэн бөгөөд энэ нь хорлонтой урсгалыг бодит цаг хугацаанд хааж чаддаг. Энэ нь харуул шиг дайсныг илрүүлээд зогсохгүй тэднийг оруулахгүй.
2. Хариултын хэв маяг
IDS: Администраторын гараар хөндлөнгөөс оролцох шаардлагатай аюул илэрсэний дараа анхааруулга өгдөг. Манаач дайсныг олж мэдээд дарга нартаа тайлагнаж, заавар хүлээж байгаа мэт.
IPS: Хүний оролцоогүйгээр аюул илэрсэний дараа хамгаалалтын стратеги автоматаар хэрэгждэг. Дайснаа харчихаад буцаагаад унагачихдаг харуул шиг.
3. Байршуулах байршил
IDS: Ихэвчлэн сүлжээг тойрч гарах байршилд байрлуулсан бөгөөд сүлжээний урсгалд шууд нөлөөлдөггүй. Түүний үүрэг бол ажиглах, бүртгэх бөгөөд энэ нь хэвийн харилцаанд саад болохгүй.
IPS: Энэ нь ихэвчлэн сүлжээний онлайн байршилд байрладаг бөгөөд сүлжээний урсгалыг шууд зохицуулдаг. Энэ нь замын хөдөлгөөний бодит цагийн дүн шинжилгээ, хөндлөнгийн оролцоог шаарддаг тул өндөр гүйцэтгэлтэй байдаг.
4. Худал дохиолол/худал блоклох эрсдэл
IDS: Хуурамч эерэг үзүүлэлтүүд нь сүлжээний үйл ажиллагаанд шууд нөлөөлдөггүй ч администраторуудыг тэмцэлд хүргэдэг. Хэт мэдрэмтгий харуул шиг ойр ойрхон дохиолол дуугарч, ажлын ачааллаа нэмэгдүүлнэ.
IPS: Хуурамч хаалт нь ердийн үйлчилгээний тасалдал үүсгэж, сүлжээний хүртээмжид нөлөөлж болзошгүй. Энэ нь дэндүү түрэмгий, нөхөрсөг цэргийг гэмтээж чадах хамгаалагчтай адил юм.
5. Хэрэглэх тохиолдол
IDS: Аюулгүй байдлын аудит, ослын хариу арга хэмжээ гэх мэт сүлжээний үйл ажиллагаанд гүнзгий дүн шинжилгээ хийх, хяналт тавих шаардлагатай хувилбаруудад тохиромжтой. Жишээлбэл, аж ахуйн нэгж ажилчдын онлайн зан үйлийг хянах, мэдээллийн зөрчлийг илрүүлэх зорилгоор IDS ашиглаж болно.
IPS: Энэ нь хилийн хамгаалалт, чухал үйлчилгээний хамгаалалт гэх мэт сүлжээг бодит цаг хугацаанд халдлагаас хамгаалах шаардлагатай хувилбаруудад тохиромжтой. Жишээлбэл, аж ахуйн нэгж өөрийн сүлжээнд гадны халдагчдыг нэвтрэхээс сэргийлэхийн тулд IPS ашиглаж болно.
IDS болон IPS-ийн практик хэрэглээ
IDS болон IPS-ийн ялгааг илүү сайн ойлгохын тулд бид дараах практик хэрэглээний хувилбарыг дүрсэлж болно.
1. Байгууллагын сүлжээний аюулгүй байдлын хамгаалалт Байгууллагын сүлжээнд IDS-ийг дотоод сүлжээнд байрлуулж, ажилчдын онлайн зан үйлийг хянаж, хууль бус хандалт, мэдээлэл алдагдсан эсэхийг илрүүлэх боломжтой. Жишээлбэл, хэрэв ажилтны компьютер хортой вэб сайт руу нэвтэрч байгаа нь тогтоогдвол IDS анхааруулга өгч, администраторыг шалгахыг анхааруулдаг.
Нөгөө талаас IPS нь гадны халдагчдыг байгууллагын сүлжээнд халдахаас сэргийлэхийн тулд сүлжээний хил дээр байрлуулж болно. Жишээлбэл, хэрэв IP хаяг SQL шахалтын халдлагад өртөж байгаа нь тогтоогдвол IPS нь байгууллагын мэдээллийн сангийн аюулгүй байдлыг хамгаалах үүднээс IP урсгалыг шууд хаах болно.
2. Дата төвийн аюулгүй байдал Дата төвүүдэд IDS-ийг сервер хоорондын урсгалыг хянахын тулд хэвийн бус харилцаа холбоо, хортой програм байгаа эсэхийг илрүүлэхэд ашиглаж болно. Жишээлбэл, хэрэв сервер гадаад ертөнц рүү их хэмжээний сэжигтэй өгөгдөл илгээж байгаа бол IDS нь хэвийн бус үйлдлийг тэмдэглэж, администраторт үүнийг шалгахыг анхааруулдаг.
Нөгөө талаас IPS нь DDoS халдлага, SQL тарилга болон бусад хортой урсгалыг хаахын тулд дата төвүүдийн үүдэнд байрлуулж болно. Жишээлбэл, хэрэв бид DDoS халдлага нь дата төвийг устгахыг оролдож байгааг олж мэдвэл IPS нь үйлчилгээний хэвийн ажиллагааг хангахын тулд холбогдох урсгалыг автоматаар хязгаарлах болно.
3. Үүлний хамгаалалт Клоуд орчинд IDS-ийг ашиглан үүлэн үйлчилгээний ашиглалтыг хянаж, зөвшөөрөлгүй хандалт, нөөцийг буруугаар ашиглаж байгаа эсэхийг илрүүлэх боломжтой. Жишээлбэл, хэрэв хэрэглэгч зөвшөөрөлгүй үүлний нөөцөд хандахыг оролдож байгаа бол IDS дохио өгч, администраторт арга хэмжээ авахыг анхааруулах болно.
Харин IPS-ийг үүлэн сүлжээний захад байрлуулж, үүлэн үйлчилгээг гадны халдлагаас хамгаалах боломжтой. Жишээлбэл, хэрэв үүлэн үйлчилгээнд харгис хэрцгий халдлага хийх IP хаяг илэрсэн бол IPS нь үүлэн үйлчилгээний аюулгүй байдлыг хамгаалахын тулд IP-ээс шууд сална.
IDS болон IPS-ийн хамтын хэрэглээ
Практикт IDS болон IPS нь тусад нь байдаггүй, гэхдээ сүлжээний аюулгүй байдлын илүү иж бүрэн хамгаалалтыг хангахын тулд хамтран ажиллах боломжтой. Жишээ нь:
IDS нь IPS-ийн нэмэлт болгон:IDS нь IPS-д аюул заналыг илүү сайн таньж, блоклоход туслахын тулд замын хөдөлгөөний илүү гүнзгий дүн шинжилгээ хийх, үйл явдлын бүртгэл хийх боломжтой. Жишээлбэл, IDS нь урт хугацааны мониторингийн тусламжтайгаар далд халдлагын хэв маягийг илрүүлж, дараа нь хамгаалалтын стратегийг оновчтой болгохын тулд энэ мэдээллийг IPS-д буцааж өгөх боломжтой.
IPS нь IDS-ийн гүйцэтгэгчээр ажилладаг:IDS аюулыг илрүүлсний дараа автоматжуулсан хариу үйлдэл үзүүлэхийн тулд хамгаалалтын стратегийг хэрэгжүүлэхийн тулд IPS-ийг идэвхжүүлдэг. Жишээлбэл, хэрэв IDS нь IP хаягийг хорлонтойгоор сканнердаж байгааг илрүүлбэл IPS-д мэдэгдэж, тухайн IP-ээс ирсэн урсгалыг шууд хаах боломжтой.
IDS болон IPS-ийг нэгтгэснээр аж ахуйн нэгж, байгууллагууд сүлжээний янз бүрийн аюул заналхийллийг үр дүнтэй эсэргүүцэх илүү бат бөх сүлжээний аюулгүй байдлын хамгаалалтын системийг бий болгож чадна. IDS нь асуудлыг олох үүрэгтэй, IPS нь асуудлыг шийдвэрлэх үүрэгтэй, энэ хоёр нь бие биенээ нөхдөг, аль нь ч боломжгүй.
Зөв олохСүлжээний пакет брокерIDS-тэй ажиллах (Халдалтыг илрүүлэх систем)
Зөв олохInline Bypass Tap SwitchIPS-тэй ажиллахын тулд (Intrusion Prevention System)
Шуудангийн цаг: 2025-04-23
