Өнөөгийн дижитал эрин үед сүлжээний аюулгүй байдал нь аж ахуйн нэгж, хувь хүмүүсийн тулгарч буй чухал асуудал болж байна. Сүлжээний халдлагын тасралтгүй хувьсал өөрчлөлтийн ачаар уламжлалт аюулгүй байдлын арга хэмжээ хангалтгүй болж байна. Энэ хүрээнд The Times сонины шаардлагын дагуу Халдлага илрүүлэх систем (IDS) болон Халдлагаас урьдчилан сэргийлэх систем (IPS) гарч ирж, сүлжээний аюулгүй байдлын салбарын хоёр гол хамгаалагч болж байна. Эдгээр нь төстэй мэт санагдаж болох ч үйл ажиллагаа, хэрэглээний хувьд эрс ялгаатай. Энэхүү нийтлэлд IDS болон IPS-ийн ялгааг гүнзгийрүүлэн авч үзэж, сүлжээний аюулгүй байдлын эдгээр хоёр хамгаалагчийн нууцыг тайлах болно.
IDS: Сүлжээний аюулгүй байдлын скаут
1. IDS Халдлага Илрүүлэх Системийн (IDS) үндсэн ойлголтууднь сүлжээний урсгалыг хянах, болзошгүй хортой үйл ажиллагаа эсвэл зөрчлийг илрүүлэх зориулалттай сүлжээний аюулгүй байдлын төхөөрөмж эсвэл програм хангамж юм. Сүлжээний пакет, бүртгэлийн файл болон бусад мэдээллийг шинжлэх замаар IDS нь хэвийн бус урсгалыг тодорхойлж, админуудад харгалзах хариу арга хэмжээ авахыг мэдэгдэнэ. IDS-ийг сүлжээнд байгаа бүх хөдөлгөөнийг ажигладаг анхааралтай ажиглагч гэж бодоорой. Сүлжээнд сэжигтэй үйлдэл гарсан үед IDS нь анх удаа илрүүлж, анхааруулга өгөх боловч идэвхтэй арга хэмжээ авахгүй. Үүний ажил бол "асуудлыг олох", "шийдвэрлэх" биш юм.
2. IDS хэрхэн ажилладаг вэ? IDS хэрхэн ажилладаг вэ гэдэг нь голчлон дараах аргуудаас хамаардаг.
Гарын үсэг илрүүлэлт:IDS нь мэдэгдэж буй халдлагын гарын үсэг агуулсан гарын үсгийн томоохон мэдээллийн сантай. Сүлжээний урсгал мэдээллийн сан дахь гарын үсэгтэй таарч байвал IDS анхааруулга өгдөг. Энэ нь цагдаа нар сэжигтнийг тодорхойлохын тулд хурууны хээний мэдээллийн санг ашиглаж байгаатай адил бөгөөд үр дүнтэй боловч мэдэгдэж буй мэдээллээс хамааралтай юм.
Аномали илрүүлэлт:IDS нь сүлжээний хэвийн зан үйлийн хэв маягийг сурч, хэвийн хэв маягаас хазайсан урсгалыг олсны дараа үүнийг болзошгүй аюул занал гэж үздэг. Жишээлбэл, хэрэв ажилтны компьютер шөнө орой гэнэт их хэмжээний өгөгдөл илгээвэл IDS нь хэвийн бус зан үйлийг тэмдэглэж магадгүй юм. Энэ нь хорооллын өдөр тутмын үйл ажиллагааг мэддэг туршлагатай харуул хамгаалалтын ажилтантай адил бөгөөд хэвийн бус байдал илэрсэн үед сонор сэрэмжтэй байх болно.
Протоколын шинжилгээ:IDS нь зөрчил эсвэл протоколын хэвийн бус хэрэглээ байгаа эсэхийг илрүүлэхийн тулд сүлжээний протоколуудад гүнзгий дүн шинжилгээ хийх болно. Жишээлбэл, тодорхой пакетийн протоколын формат нь стандартад нийцэхгүй бол IDS үүнийг болзошгүй халдлага гэж үзэж болно.
3. Давуу болон сул талууд
IDS-ийн давуу талууд:
Бодит цагийн хяналт:IDS нь аюулгүй байдлын аюул заналыг цаг тухайд нь олохын тулд сүлжээний урсгалыг бодит цаг хугацаанд хянаж чаддаг. Нойргүй харуул шиг сүлжээний аюулгүй байдлыг үргэлж хамгаалаарай.
Уян хатан байдал:IDS-ийг хил хязгаар, дотоод сүлжээ гэх мэт сүлжээний өөр өөр байршилд байрлуулж, олон түвшний хамгаалалтыг хангаж чадна. Энэ нь гадаад халдлага эсвэл дотоод аюул заналхийлэл байсан ч IDS үүнийг илрүүлж чадна.
Үйл явдлын бүртгэл:IDS нь нас баралтын дараах шинжилгээ болон шүүх эмнэлгийн шинжилгээнд зориулж сүлжээний үйл ажиллагааны дэлгэрэнгүй бүртгэлийг бүртгэж чаддаг. Энэ нь сүлжээнд байгаа бүх нарийн ширийн зүйлийг тэмдэглэж авдаг үнэнч бичээчтэй адил юм.
IDS-ийн сул талууд:
Хуурамч эерэг үр дүнгийн өндөр түвшин:IDS нь гарын үсэг болон гажиг илрүүлэлтэд тулгуурладаг тул хэвийн урсгалыг хортой үйл ажиллагаа гэж буруугаар үнэлэх, улмаар хуурамч эерэг үр дүнд хүргэх боломжтой. Хүргэлтийн ажилтныг хулгайчтай андуурч магадгүй хэт мэдрэг харуул хамгаалалтын ажилтан шиг.
Урьдчилан сэргийлэх арга хэмжээ авах боломжгүй:IDS нь зөвхөн илрүүлж, сэрэмжлүүлэг өгөх боломжтой боловч хортой урсгалыг урьдчилан хааж чадахгүй. Асуудал илэрсэн тохиолдолд админуудын гараар оролцоо шаардлагатай бөгөөд энэ нь хариу өгөх хугацааг уртасгахад хүргэж болзошгүй юм.
Нөөцийн хэрэглээ:IDS нь их хэмжээний сүлжээний урсгалыг шинжлэх шаардлагатай бөгөөд энэ нь ялангуяа ачаалал ихтэй орчинд системийн нөөцийг их хэмжээгээр эзэлж болзошгүй юм.
IPS: Сүлжээний аюулгүй байдлын "хамгаалагч"
1. IPS халдлагаас урьдчилан сэргийлэх системийн (IPS) үндсэн ойлголтнь IDS-ийн үндсэн дээр боловсруулсан сүлжээний аюулгүй байдлын төхөөрөмж эсвэл програм хангамж юм. Энэ нь зөвхөн хортой үйл ажиллагааг илрүүлэхээс гадна тэдгээрийг бодит цаг хугацаанд урьдчилан сэргийлэх, сүлжээг халдлагаас хамгаалах боломжтой. Хэрэв IDS бол тагнуулч бол IPS бол зоригтой харуул юм. Энэ нь зөвхөн дайсныг илрүүлээд зогсохгүй дайсны дайралтыг зогсоох санаачилга гаргаж чадна. IPS-ийн зорилго нь бодит цагийн оролцоогоор сүлжээний аюулгүй байдлыг хамгаалахын тулд "асуудлыг олж, засах" явдал юм.
2. IPS хэрхэн ажилладаг вэ
IDS-ийн илрүүлэх функц дээр үндэслэн IPS нь дараах хамгаалалтын механизмыг нэмж өгдөг.
Замын хөдөлгөөний хаалт:IPS нь хортой урсгалыг илрүүлэх үед сүлжээнд нэвтрэхээс сэргийлэхийн тулд энэ урсгалыг нэн даруй хааж болно. Жишээлбэл, хэрэв пакет мэдэгдэж буй эмзэг байдлыг ашиглахыг оролдож байгаа нь илэрвэл IPS үүнийг зүгээр л хаяна.
Хурал дуусах:IPS нь хортой хост хоорондын сессийг зогсоож, халдагчийн холболтыг тасалж чадна. Жишээлбэл, хэрэв IPS нь IP хаяг дээр bruteforce халдлага хийгдэж байгааг илрүүлбэл тухайн IP хаягтай холбоог тасална.
Контент шүүлтүүр:IPS нь хортой код эсвэл өгөгдөл дамжуулалтыг хаахын тулд сүлжээний урсгал дээр контент шүүлт хийж чаддаг. Жишээлбэл, хэрэв имэйл хавсралт нь хортой програм агуулсан болохыг тогтоовол IPS нь тухайн имэйлийн дамжуулалтыг хаах болно.
IPS нь хаалгач шиг ажилладаг бөгөөд сэжигтэй хүмүүсийг илрүүлээд зогсохгүй тэднийг холдуулдаг. Энэ нь хурдан хариу үйлдэл үзүүлдэг бөгөөд аюул заналхийллийг тархахаас нь өмнө дарж чаддаг.
3. IPS-ийн давуу болон сул талууд
IPS-ийн давуу талууд:
Урьдчилан сэргийлэх хамгаалалт:IPS нь хортой урсгалыг бодит цаг хугацаанд урьдчилан сэргийлж, сүлжээний аюулгүй байдлыг үр дүнтэй хамгаалж чадна. Энэ нь дайснуудыг ойртохоос нь өмнө няцаах чадвартай сайн сургагдсан харуул шиг юм.
Автоматжуулсан хариу үйлдэл:IPS нь урьдчилан тодорхойлсон хамгаалалтын бодлогыг автоматаар гүйцэтгэж, администраторуудын ачааллыг бууруулж чаддаг. Жишээлбэл, DDoS халдлага илэрсэн үед IPS нь холбогдох урсгалыг автоматаар хязгаарлаж чаддаг.
Гүнзгий хамгаалалт:IPS нь илүү гүнзгий түвшний хамгаалалтыг хангахын тулд галт хана, аюулгүй байдлын гарц болон бусад төхөөрөмжүүдтэй хамтран ажиллах боломжтой. Энэ нь зөвхөн сүлжээний хил хязгаарыг хамгаалаад зогсохгүй дотоод чухал хөрөнгийг хамгаалдаг.
IPS-ийн сул талууд:
Хуурамч хаалтын эрсдэл:IPS нь хэвийн урсгалыг санамсаргүйгээр хааж, сүлжээний хэвийн ажиллагаанд нөлөөлж болзошгүй. Жишээлбэл, хэрэв хууль ёсны урсгалыг хортой гэж буруу ангилсан бол энэ нь үйлчилгээний тасалдалд хүргэж болзошгүй.
Гүйцэтгэлийн нөлөө:IPS нь сүлжээний урсгалыг бодит цагийн шинжилгээ, боловсруулалт шаарддаг бөгөөд энэ нь сүлжээний гүйцэтгэлд тодорхой хэмжээгээр нөлөөлж болзошгүй юм. Ялангуяа ачаалал ихтэй орчинд энэ нь саатал нэмэгдэхэд хүргэж болзошгүй юм.
Нарийн төвөгтэй тохиргоо:IPS-ийн тохиргоо болон засвар үйлчилгээ нь харьцангуй төвөгтэй бөгөөд мэргэжлийн ажилтнуудыг удирдахыг шаарддаг. Хэрэв зөв тохируулаагүй бол хамгаалалтын үр нөлөө муудах эсвэл хуурамч хаалтын асуудлыг улам хүндрүүлж болзошгүй.
IDS болон IPS-ийн ялгаа
IDS болон IPS нь нэрэндээ зөвхөн нэг үгээр ялгаатай боловч үйл ажиллагаа болон хэрэглээний хувьд мэдэгдэхүйц ялгаа байдаг. IDS болон IPS-ийн хоорондох гол ялгааг энд дурдъя:
1. Функциональ байрлал
IDS: Энэ нь голчлон идэвхгүй хамгаалалтад хамаарах сүлжээнд аюулгүй байдлын аюул заналхийллийг хянах, илрүүлэхэд ашиглагддаг. Энэ нь тагнуулч шиг ажилладаг бөгөөд дайсан хармагцаа дохиолол дуугаргадаг боловч довтлох санаачилга гаргадаггүй.
IPS: IDS-д идэвхтэй хамгаалалтын функц нэмэгдсэн бөгөөд энэ нь хортой урсгалыг бодит цаг хугацаанд хаах боломжтой. Энэ нь харуул шиг дайсныг илрүүлээд зогсохгүй тэднийг гадуур байлгах боломжтой.
2. Хариу үйлдлийн хэв маяг
IDS: Аюул занал илэрсэний дараа сэрэмжлүүлэг гаргадаг бөгөөд администраторын гараар оролцоо шаарддаг. Энэ нь харуул дайсан олж хараад зааварчилгаа хүлээж буй даргадаа мэдээлэхтэй адил юм.
IPS: Хүний оролцоогүйгээр аюул заналхийлэл илэрсний дараа хамгаалалтын стратеги автоматаар хэрэгждэг. Энэ нь дайсан хараад буцааж цохиж буй харуултай адил юм.
3. Байршуулалтын байршил
IDS: Ихэвчлэн сүлжээний тойрч гарах байршилд байрладаг бөгөөд сүлжээний урсгалд шууд нөлөөлдөггүй. Үүний үүрэг нь ажиглах, бүртгэх бөгөөд хэвийн харилцаанд саад учруулахгүй.
IPS: Ихэвчлэн сүлжээний онлайн байршилд байрладаг бөгөөд сүлжээний урсгалыг шууд зохицуулдаг. Энэ нь урсгалыг бодит цагийн шинжилгээ, оролцоо шаарддаг тул өндөр гүйцэтгэлтэй байдаг.
4. Хуурамч дохиолол/худал хаалтын эрсдэл
IDS: Хуурамч эерэг үр дүн нь сүлжээний үйл ажиллагаанд шууд нөлөөлдөггүй боловч администраторуудад бэрхшээл учруулж болзошгүй. Хэт мэдрэмтгий харуул шиг та байнга дохиолол дуугаргаж, ажлын ачааллаа нэмэгдүүлж магадгүй юм.
IPS: Буруу хаалт нь хэвийн үйлчилгээ тасалдуулж, сүлжээний хүртээмжид нөлөөлж болзошгүй. Энэ нь хэт түрэмгий, нөхөрсөг цэргүүдэд хор хөнөөл учруулж болзошгүй харуултай адил юм.
5. Хэрэглэх тохиолдлууд
IDS: Аюулгүй байдлын аудит, ослын хариу арга хэмжээ гэх мэт сүлжээний үйл ажиллагааны гүнзгий дүн шинжилгээ, хяналт шаардлагатай нөхцөл байдалд тохиромжтой. Жишээлбэл, аж ахуйн нэгж ажилчдын онлайн зан төлөвийг хянах, өгөгдлийн алдагдлыг илрүүлэхийн тулд IDS ашиглаж болно.
IPS: Энэ нь хилийн хамгаалалт, чухал үйлчилгээний хамгаалалт гэх мэт сүлжээг бодит цаг хугацаанд халдлагаас хамгаалах шаардлагатай нөхцөл байдалд тохиромжтой. Жишээлбэл, аж ахуйн нэгж гадны халдагчид сүлжээнд нь нэвтрэхээс урьдчилан сэргийлэхийн тулд IPS ашиглаж болно.
IDS болон IPS-ийн практик хэрэглээ
IDS болон IPS-ийн ялгааг илүү сайн ойлгохын тулд бид дараах практик хэрэглээний хувилбарыг харуулж болно.
1. Байгууллагын сүлжээний аюулгүй байдлын хамгаалалт Байгууллагын сүлжээнд ажилчдын онлайн зан төлөвийг хянах, хууль бус хандалт эсвэл мэдээлэл алдагдсан эсэхийг илрүүлэхийн тулд IDS-ийг дотоод сүлжээнд байрлуулж болно. Жишээлбэл, хэрэв ажилтны компьютер хортой вэбсайт руу нэвтэрч байгаа нь тогтоогдвол IDS нь сэрэмжлүүлэг өгч, админд мөрдөн шалгахыг мэдэгдэнэ.
Нөгөөтэйгүүр, IPS-ийг гадны халдагчид байгууллагын сүлжээнд халдахаас урьдчилан сэргийлэхийн тулд сүлжээний хил дээр байрлуулж болно. Жишээлбэл, хэрэв IP хаяг SQL injection халдлагад өртөж байгааг илрүүлбэл IPS нь байгууллагын мэдээллийн сангийн аюулгүй байдлыг хамгаалахын тулд IP урсгалыг шууд хаах болно.
2. Өгөгдлийн төвийн аюулгүй байдал Өгөгдлийн төвүүдэд IDS-ийг серверүүдийн хоорондох урсгалыг хянах, хэвийн бус харилцаа холбоо эсвэл хортой програм хангамж байгаа эсэхийг илрүүлэхэд ашиглаж болно. Жишээлбэл, хэрэв сервер гадаад ертөнц рүү их хэмжээний сэжигтэй өгөгдөл илгээж байгаа бол IDS нь хэвийн бус байдлыг тэмдэглэж, администраторт үүнийг шалгахыг мэдэгдэнэ.
Нөгөөтэйгүүр, IPS-ийг DDoS халдлага, SQL тарилга болон бусад хортой урсгалыг хаахын тулд өгөгдлийн төвүүдийн үүдэнд байрлуулж болно. Жишээлбэл, хэрэв бид DDoS халдлага өгөгдлийн төвийг нураахыг оролдож байгааг илрүүлбэл IPS нь үйлчилгээний хэвийн ажиллагааг хангахын тулд холбогдох урсгалыг автоматаар хязгаарлана.
3. Үүлэн аюулгүй байдал Үүлэн орчинд IDS-ийг үүлэн үйлчилгээний хэрэглээг хянах, зөвшөөрөлгүй хандалт эсвэл нөөцийг буруугаар ашиглах эсэхийг илрүүлэхэд ашиглаж болно. Жишээлбэл, хэрэв хэрэглэгч зөвшөөрөлгүй үүлэн нөөцөд хандахыг оролдож байгаа бол IDS нь анхааруулга өгч, администраторт арга хэмжээ авахыг мэдэгдэнэ.
Нөгөөтэйгүүр, IPS-ийг үүлэн үйлчилгээг гадны халдлагаас хамгаалахын тулд үүлэн сүлжээний захад байрлуулж болно. Жишээлбэл, хэрэв үүлэн үйлчилгээнд харгис хүчээр халдлага эхлүүлэх IP хаяг илэрсэн бол IPS нь үүлэн үйлчилгээний аюулгүй байдлыг хамгаалахын тулд IP-ээс шууд сална.
IDS болон IPS-ийн хамтын хэрэглээ
Практикт IDS болон IPS нь тусдаа байдаггүй боловч илүү цогц сүлжээний аюулгүй байдлын хамгаалалтыг хангахын тулд хамтран ажиллаж чаддаг. Жишээлбэл:
IPS-ийн нэмэлт болгон IDS:IDS нь IPS-д аюул заналыг илүү сайн тодорхойлж, хаахад нь туслахын тулд илүү гүнзгий урсгалын шинжилгээ болон үйл явдлын бүртгэлийг хийж чаддаг. Жишээлбэл, IDS нь урт хугацааны хяналт шинжилгээгээр далд халдлагын хэв маягийг илрүүлж, дараа нь энэ мэдээллийг IPS-д буцааж өгч, хамгаалалтын стратегиа оновчтой болгож чадна.
IPS нь IDS-ийн гүйцэтгэгчийн үүрэг гүйцэтгэдэг:IDS нь аюул заналхийллийг илрүүлсний дараа автомат хариу үйлдэл үзүүлэхийн тулд IPS-ийг харгалзах хамгаалалтын стратегийг хэрэгжүүлэхэд хүргэж болно. Жишээлбэл, хэрэв IDS нь IP хаягийг хортойгоор сканнердаж байгааг илрүүлбэл тухайн IP хаягаас шууд урсгалыг хаах талаар IPS-д мэдэгдэж болно.
IDS болон IPS-ийг хослуулснаар аж ахуйн нэгж, байгууллагууд янз бүрийн сүлжээний аюул заналхийллийг үр дүнтэй эсэргүүцэхийн тулд илүү бат бөх сүлжээний аюулгүй байдлын хамгаалалтын системийг бий болгож чадна. IDS нь асуудлыг олох, IPS нь асуудлыг шийдвэрлэх үүрэгтэй бөгөөд энэ хоёр нь бие биенээ нөхөж байдаг бөгөөд аль нь ч зайлшгүй биш юм.
Зөвийг олохСүлжээний пакет зуучлагчIDS (Халдлага илрүүлэх систем)-тэй ажиллах
Зөвийг олохШугамын доторх тойрч гарах товчлуурын унтраалгаIPS (Халдлагаас урьдчилан сэргийлэх систем)-тэй ажиллах
Нийтэлсэн цаг: 2025 оны 4-р сарын 23
