Systémy detekce a prevence narušení sledují veškerou aktivitu v síti, vedou záznamy o této aktivitě a hledají vniknutí a útoky. Řešení detekce a prevence narušení lze implementovat samostatně nebo společně, ačkoli mít obě z nich je často výhodnější, protože detekce i reakce jsou důležité pro zabezpečení sítě. V průběhu doby se systémy detekce narušení (IDS) a systémy prevence narušení (IPS) spojily a staly se systémy detekce a prevence narušení (IDPS).
IDS
Systémy detekce narušení monitorují síťový provoz a zaznamenávají veškerou aktivitu do systémových protokolů, které lze studovat na vzory. Systém detekce narušení je známý svou schopností studovat síťovou aktivitu a poté detekovat neobvyklé chování. Pozoruje síť pro různé přenosové vzorce, včetně těch, které jsou charakteristické pro červy nebo viry, a upozorňuje týmy IT nebo správce na podezřelou aktivitu nebo útoky. IDS lze naprogramovat tak, aby očekávalo určité normální chování sítě a to, co se obvykle vyskytuje v segmentech sítě; funkce detekce anomálií označuje neobvyklé akce, které neodpovídají programování.
IDS vidí, jak narušení vypadá, a používá předchozí záznamy, které se nazývají podpisy narušení, aby zjistil, zda může být narušení také nový vzor. IDS přistupuje k těmto datům prostřednictvím souborů protokolu, které síť uchovává. Ale toto je slabost systému detekce narušení, která se také omezuje na pozorování narušení, která se již stala.
Software IDS má různé úrovně a ceny; lze jej také nainstalovat jako hardware do počítačového systému.
IPS
Systémy prevence narušení analyzují síťový provoz, filtrují požadavky a podle toho povolují nebo blokují požadavky. IPS je aktivnější než IDS, protože dokáže reagovat na chování. Pro IT týmy to však může být ohromující, protože jakákoli podivná aktivita, i když neškodná, přetíží technologický personál výstrahami. Pokud IPS není inteligentní a nedokáže dobře interpretovat síťovou aktivitu, je téměř nemožné, aby se lidé setkali s přívalem systémových výstrah.
Systémy prevence narušení mohou být náchylné k falešným pozitivům a negativům: falešný poplach blokuje legitimní paket, který se zdá být podezřelý, a falešný zápor zmešká škodlivý provoz. Strojové učení implementované v prevenci narušení může pomoci systému zpřesnit, pokud se technologie lépe naučí síťové vzorce a přesněji detekuje skutečné problémy. Pokročilejší automatizace může snížit počet falešných poplachů a negativů. Bezpečnostní týmy obvykle potřebují vylepšit pravidla, aby se vyhnuly spouštění falešných nebo nevýznamných upozornění.
Služby prevence narušení mohou být buď síťové nebo hostitelské. Síťový IPS sedí poblíž brány firewall a sleduje síťový provoz. Hostitelské IPS jsou blíže k počítači nebo jinému koncovému bodu (poblíž hostitele).
Používání systémů detekce a prevence narušení (IDPS)
Jak již bylo zmíněno dříve, detekce a prevence narušení jsou často spojeny dohromady automaticky, i když je lze implementovat jako samostatná řešení. Jsou však spolu efektivnější. Zjištění možné abnormální aktivity v souboru protokolu aplikace je málo dobré, pokud systém nemůže podniknout kroky ke sledování a potlačení vetřelce. A bez softwaru pro monitorování veškerého síťového provozu nebudou systémy prevence schopny lokalizovat škodlivou činnost tak efektivně. Ačkoli IDPS není dokonalým řešením veškerého zabezpečení sítě, je nejlepší nasadit detekci i prevenci, pokud plánujete použít jednu z nich.