Di serdema dîjîtal a îroyîn de, ewlehiya torê bûye pirsgirêkek girîng ku divê sazî û kes pê re rû bi rû bimînin. Bi pêşveçûna berdewam a êrîşên torê re, tedbîrên ewlehiyê yên kevneşopî ne bes bûne. Di vê çarçoveyê de, Sîstema Tesbîtkirina Destwerdanê (IDS) û Sîstema Pêşîlêgirtina Destwerdanê (IPS) wekî ku The Times hewce dike derdikevin holê û dibin du parêzvanên sereke di warê ewlehiya torê de. Dibe ku ew dişibin hev, lê di fonksiyon û serîlêdanê de pir ji hev cuda ne. Ev gotar kûr li ser cûdahiyên di navbera IDS û IPS de disekine û van her du parêzvanên ewlehiya torê eşkere dike.
IDS: Skifterê Ewlekariya Torê
1. Têgehên bingehîn ên Sîstema Tesbîtkirina Destwerdanê ya IDS (IDS)amûrek ewlehiya torê an sepanek nermalavê ye ku ji bo çavdêriya trafîka torê û tespîtkirina çalakiyên potansiyel ên zirardar an binpêkirinan hatiye çêkirin. Bi analîzkirina pakêtên torê, pelên têketinê û agahdariyên din, IDS trafîka neasayî destnîşan dike û rêvebiran hişyar dike ku tedbîrên dijber bigirin. IDS-ê wekî keşfek baldar bifikirin ku her tevgerê di torê de dişopîne. Dema ku di torê de tevgerên gumanbar hebin, IDS dê cara yekem be ku tespît bike û hişyariyek bide, lê ew ê çalakiyek çalak neke. Karê wê "dîtina pirsgirêkan" e, ne "çareserkirina wan" e.
2. Çawaniya Karê IDS Çawaniya Karê IDS bi giranî li ser teknîkên jêrîn ve girêdayî ye:
Tesbîtkirina Îmzeyê:IDS xwedî databeseke mezin a îmzeyan e ku îmzeyên êrîşên naskirî tê de hene. IDS dema ku trafîka torê bi îmzeyekê di databesê de li hev dike, hişyariyekê dide. Ev mîna polîs e ku databeseke şopa tiliyê bikar tîne da ku gumanbaran nas bike, bi bandor e lê bi agahiyên naskirî ve girêdayî ye.
Tesbîtkirina Anomalîyê:IDS şêwazên tevgerên normal ên torê fêr dibe, û gava trafîkek ji şêwaza normal dûr dibîne, ew wê wekî gefek potansiyel dibîne. Mînakî, heke komputera karmendek di derengiya şevê de ji nişka ve mîqdarek mezin a daneyan bişîne, IDS dikare tevgerên neasayî nîşan bide. Ev mîna cerdevanek ewlehiyê yê xwedî ezmûn e ku bi çalakiyên rojane yên taxê dizane û gava anomalî werin tespît kirin dê hişyar be.
Analîza Protokolê:IDS dê analîzek kûr a protokolên torê bike da ku tespît bike ka binpêkirin an karanîna protokolê ya neasayî heye an na. Mînakî, heke formata protokolê ya pakêtek diyarkirî li gorî standardê nebe, IDS dikare wê wekî êrîşek potansiyel bihesibîne.
3. Awantaj û Dezavantaj
Avantajên IDS:
Çavdêriya demrast:IDS dikare trafîka torê di wextê rast de bişopîne da ku gefên ewlehiyê di wextê xwe de bibîne. Mîna nobedarekî bêxew, her tim ewlehiya torê biparêze.
Nermbûn:IDS dikare li deverên cûda yên torê, wek sînor, torên navxweyî û hwd., were bicihkirin, û gelek astên parastinê peyda bike. Çi êrîşek derveyî be, çi gefek navxweyî be, IDS dikare wê tespît bike.
Tomarkirina bûyeran:IDS dikare ji bo analîza piştî mirinê û lêkolînên dadwerî tomarên çalakiyên torê yên berfireh tomar bike. Ew mîna nivîskarekî dilsoz e ku her hûrgiliyek di torê de tomar dike.
Dezavantajên IDS:
Rêjeya bilind a encamên pozîtîf ên derewîn:Ji ber ku IDS xwe dispêre îmzeyan û tespîtkirina anomalîyan, mimkun e ku trafîka normal wekî çalakiyek xerabkar bi xeletî were nirxandin, ku bibe sedema encamên erênî yên derewîn. Mîna cerdevanek ewlehiyê yê zêde hesas ku dibe ku gihandkar bi diz re tevlihev bike.
Nekare bi awayekî çalak xwe biparêze:IDS tenê dikare hişyariyan tespît bike û bide, lê nikare bi awayekî çalak trafîka xerab asteng bike. Dema ku pirsgirêkek were dîtin, destwerdana destî ya rêvebiran jî hewce ye, ku ev dikare bibe sedema demên bersivdayînê yên dirêj.
Bikaranîna çavkaniyan:Pêdivî ye ku IDS mîqdarek mezin ji trafîka torê analîz bike, ku dibe ku gelek çavkaniyên pergalê dagir bike, nemaze di hawîrdorek trafîka zêde de.
IPS: "Parêzvanê" Ewlekariya Torê
1. Têgeha bingehîn a Sîstema Pêşîlêgirtina Destwerdanê ya IPS (IPS)amûrek ewlehiya torê an sepanek nermalavê ye ku li ser bingeha IDS-ê hatî pêşve xistin. Ew ne tenê dikare çalakiyên xerab tespît bike, lê di heman demê de di wextê rast de pêşî li wan bigire û torê ji êrîşan biparêze. Ger IDS keşf be, IPS cerdevanek wêrek e. Ew ne tenê dikare dijmin tespît bike, lê di heman demê de destpêşxeriya rawestandina êrîşa dijmin jî bigire. Armanca IPS ew e ku "pirsgirêkan bibîne û wan çareser bike" da ku ewlehiya torê bi destwerdana rast-dem biparêze.
2. IPS çawa dixebite
Li ser bingeha fonksiyona tespîtkirinê ya IDS, IPS mekanîzmaya parastinê ya jêrîn lê zêde dike:
Astengkirina trafîkê:Dema ku IPS trafîka xerabkar tesbît dike, ew dikare tavilê vê trafîkê asteng bike da ku rê li ber ketina wê ya nav torê bigire. Mînakî, heke pakêtek were dîtin ku hewl dide ku ji qelsiyek naskirî sûd werbigire, IPS dê tenê wê bavêje.
Bidawîkirina rûniştinê:IPS dikare danişîna di navbera mêvandarê xerabkar de biqedîne û pêwendiya êrîşkar qut bike. Bo nimûne, heke IPS tesbît bike ku êrîşeke bi zorê li ser navnîşana IP-yê tê kirin, ew ê tenê têkiliyê bi wê IP-yê re qut bike.
Fîlterkirina naverokê:IPS dikare fîlterkirina naverokê li ser trafîka torê pêk bîne da ku veguhestina kod an daneyên zirardar asteng bike. Mînakî, heke were dîtin ku pêvekek e-nameyê malware dihewîne, IPS dê veguhestina wê e-nameyê asteng bike.
IPS mîna dergevanekî dixebite, ne tenê kesên gumanbar dibîne, lê di heman demê de wan dûr dixe jî. Ew zû bersiv dide û dikare gefan berî ku belav bibin, ji holê rake.
3. Awantaj û dezavantajên IPS
Avantajên IPS-ê:
Parastina proaktîf:IPS dikare di wextê rast de rê li ber trafîka xerab bigire û ewlehiya torê bi bandor biparêze. Ew mîna cerdevanek baş-perwerdekirî ye, ku dikare dijminan berî ku nêzîk bibin dûr bixe.
Bersiva otomatîk:IPS dikare polîtîkayên parastinê yên pêşwextkirî bi awayekî otomatîk bicîh bîne, û barê rêvebiran kêm bike. Mînakî, dema ku êrîşeke DDoS tê tespîtkirin, IPS dikare trafîka têkildar bi awayekî otomatîk sînordar bike.
Parastina kûr:IPS dikare bi dîwarên agir, dergehên ewlehiyê û cîhazên din re bixebite da ku astek parastinê ya kûrtir peyda bike. Ew ne tenê sînorê torê diparêze, lê di heman demê de hebûnên krîtîk ên navxweyî jî diparêze.
Dezavantajên IPS-ê:
Rîska astengkirina derewîn:IPS dikare bi xeletî trafîka normal asteng bike, ku bandorê li xebata normal a torê bike. Bo nimûne, heke trafîkek rewa wekî zirardar bi xeletî were dabeş kirin, ew dikare bibe sedema qutbûna xizmetê.
Bandora performansê:IPS hewceyê analîz û hilgirtina trafîka torê ya di wextê rast de ye, ku dibe ku bandorê li ser performansa torê bike. Bi taybetî di hawîrdorek trafîka zêde de, dibe ku bibe sedema derengketinê.
Veavakirina tevlihev:Mîhengkirin û parastina IPS-ê nisbeten tevlihev e û ji bo birêvebirina wê hewceyê karmendên pispor e. Ger bi rêkûpêk neyê mîhengkirin, dibe ku bibe sedema bandora parastinê ya nebaş an jî pirsgirêka astengkirina derewîn girantir bike.
Cûdahiya di navbera IDS û IPS de
Her çend di navên IDS û IPS de tenê yek peyva cuda hebe jî, di fonksiyon û sepandinê de cudahîyên girîng hene. Li vir cudahîyên sereke yên di navbera IDS û IPS de hene:
1. Cihêkirina fonksiyonel
IDS: Bi giranî ji bo çavdêrîkirin û tespîtkirina gefên ewlehiyê di torê de tê bikar anîn, ku ev yek di çarçoveya parastina pasîf de ye. Mîna keşfê tevdigere, dema dijmin dibîne alarmê dide, lê înîsiyatîfa êrîşê nagire ser xwe.
IPS: Fonksiyoneke parastina çalak li IDSê hatiye zêdekirin, ku dikare trafîka xerabkar di wextê rast de asteng bike. Ew mîna cerdevanekî ye, ne tenê dikare dijmin tespît bike, lê di heman demê de dikare wan li derve bihêle.
2. Şêwaza bersivê
IDS: Piştî tesbîtkirina gefê, hişyarî tên dayîn, ku destwerdana destî ji hêla rêveber ve hewce dike. Ew mîna çavdêrekî ye ku dijminekî dibîne û ji serokên xwe re rapor dike, li benda talîmatan e.
IPS: Stratejiyên parastinê piştî ku gefek bêyî destwerdana mirovan tê tesbîtkirin bixweber têne bicîhanîn. Ew mîna cerdevanekî ye ku dijminekî dibîne û wî paşve dixe.
3. Cihên bicihkirinê
IDS: Bi gelemperî li cihekî derbasbûnê yê torê tê bicîhkirin û rasterast bandorê li trafîka torê nake. Rola wê çavdêrî û tomarkirin e, û ew destwerdanê li danûstandina normal nake.
IPS: Bi gelemperî li cîhê serhêl ê torê tê bicîhkirin, ew rasterast trafîka torê birêve dibe. Pêdivî bi analîz û destwerdana trafîkê ya demrast heye, ji ber vê yekê performansa wê pir zêde ye.
4. Rîska alarma derewîn/astengkirina derewîn
IDS: Encamên erênî yên derewîn rasterast bandorê li ser operasyonên torê nakin, lê dikarin bibin sedema zehmetiyan ji bo rêvebiran. Mîna cerdevanekî zêde hesas, dibe ku hûn pir caran alarmê lê bidin û karê xwe zêde bikin.
IPS: Astengkirina derewîn dikare bibe sedema qutbûna karûbarê normal û bandorê li ser hebûna torê bike. Ew mîna cerdevanek e ku pir êrîşkar e û dikare zirarê bide leşkerên dost.
5. Rewşên bikaranînê
IDS: Ji bo senaryoyên ku analîz û çavdêriya kûr a çalakiyên torê hewce dikin, wekî vekolîna ewlehiyê, bersiva bûyeran, û hwd. guncaw e. Bo nimûne, dibe ku pargîdaniyek IDS-ê bikar bîne da ku tevgera serhêl a karmendan bişopîne û binpêkirinên daneyan tespît bike.
IPS: Ew ji bo senaryoyên ku hewce ne ku torê ji êrîşên di wextê rast de biparêzin, wek parastina sînor, parastina karûbarên krîtîk, û hwd. guncaw e. Bo nimûne, dibe ku pargîdaniyek IPS bikar bîne da ku pêşî li êrîşkarên derveyî bigire ku bikevin tora wê.
Bikaranîna pratîkî ya IDS û IPS
Ji bo ku em cudahiya di navbera IDS û IPS de çêtir fam bikin, em dikarin senaryoya serîlêdana pratîkî ya jêrîn nîşan bidin:
1. Parastina ewlehiya tora pargîdaniyê Di tora pargîdaniyê de, IDS dikare di tora navxweyî de were bicîh kirin da ku tevgera serhêl a karmendan bişopîne û tespît bike ka gihîştina neqanûnî an jî derketina daneyan heye. Mînakî, heke were dîtin ku kompîtura karmendek digihîje malperek zirardar, IDS dê hişyariyekê bide û rêveber hişyar bike ku lêpirsînê bike.
Ji aliyekî din ve, IPS dikare li ser sînorê torê were bicîhkirin da ku pêşî li êrîşkarên derveyî bigire ku tora pargîdaniyê dagir bikin. Mînakî, heke were tespît kirin ku navnîşana IP-ê di bin êrîşa derzîkirina SQL de ye, IPS dê rasterast trafîka IP-ê asteng bike da ku ewlehiya databasa pargîdaniyê biparêze.
2. Ewlekariya Navenda Daneyan Di navendên daneyan de, IDS dikare ji bo şopandina trafîka di navbera serveran de were bikar anîn da ku hebûna danûstandinek anormal an malware were tespît kirin. Mînakî, heke serverek mîqdarek mezin ji daneyên gumanbar dişîne cîhana derve, IDS dê tevgera anormal nîşan bide û rêveber hişyar bike ku wê kontrol bike.
Ji aliyekî din ve, IPS dikare li ber deriyê navendên daneyan were bicîhkirin da ku êrîşên DDoS, derzîkirina SQL û trafîka din a xerab asteng bike. Bo nimûne, heke em tesbît bikin ku êrîşeke DDoS hewl dide navendeke daneyan hilweşîne, IPS dê bixweber trafîka têkildar sînordar bike da ku xebata normal a xizmetê misoger bike.
3. Ewlekariya Ewr Di jîngeha ewr de, IDS dikare were bikar anîn da ku karanîna karûbarên ewr bişopîne û tespît bike ka gihîştina bêdestûr an karanîna xelet a çavkaniyan heye. Mînakî, heke bikarhênerek hewl bide ku bigihîje çavkaniyên ewr ên bêdestûr, IDS dê hişyariyekê bide û rêveber hişyar bike ku tedbîran bigire.
Ji aliyekî din ve, IPS dikare li ser sînorê tora ewr were bicîhkirin da ku xizmetên ewr ji êrîşên derveyî biparêze. Mînakî, heke navnîşana IP-yê were tespîtkirin ku êrîşeke bi hêza hovane li ser xizmeteke ewr were destpêkirin, IPS dê rasterast ji IP-yê qut bibe da ku ewlehiya xizmeta ewr biparêze.
Bikaranîna hevbeş a IDS û IPS
Di pratîkê de, IDS û IPS bi serê xwe nînin, lê dikarin bi hev re bixebitin da ku parastineke ewlehiya torê ya berfirehtir peyda bikin. Bo nimûne:
IDS wekî temamkerek ji bo IPS:IDS dikare analîzên trafîkê yên kûrtir û qeydkirina bûyeran peyda bike da ku alîkariya IPS bike ku gefan çêtir nas bike û asteng bike. Mînakî, IDS dikare bi rêya çavdêriya demdirêj şêwazên êrîşên veşartî tespît bike, û dûv re vê agahiyê ji IPS re bişîne da ku stratejiya xwe ya parastinê baştir bike.
IPS wekî cîbicîkarê IDS tevdigere:Piştî ku IDS gefek tesbît dike, ew dikare IPS-ê teşwîq bike ku stratejiya parastinê ya têkildar bicîh bîne da ku bersivek otomatîkî bi dest bixe. Mînakî, heke IDS tesbît bike ku navnîşana IP-ê bi awayekî xerab tê şopandin, ew dikare IPS-ê agahdar bike ku trafîkê rasterast ji wê IP-ê asteng bike.
Bi hevberkirina IDS û IPS, sazî û rêxistin dikarin pergaleke parastina ewlehiya torê ya bihêztir ava bikin da ku bi bandor li hember gefên cûrbecûr ên torê bisekinin. IDS berpirsiyarê dîtina pirsgirêkê ye, IPS berpirsiyarê çareserkirina pirsgirêkê ye, her du hevdu temam dikin, yek ji wan jî ne ji hev tê veqetandin.
Rast bibîneBrokerê Pakêtên Torêji bo xebitandina bi IDS-ya we (Sîstema Tesbîtkirina Destwerdanê) re
Rast bibîneGuhêrbarê Tapê ya Navbera Xetêji bo xebitandina bi IPS-ya we (Sîstema Pêşîlêgirtina Destwerdanê)
Dema weşandinê: 23ê Nîsanê-2025
