Intrusion Detection System – Hệ thống ngăn chặn tấn công xâm nhập là gì?

Hệ thống ngăn chặn tấn công xâm nhập (IPS) là một công cụ được sử dụng để phát hiện các hoạt động độc hại xảy ra trong mạng và/hoặc trên hệ thống. IPS cũng có thể được gọi là hệ thống phát hiện và ngăn chặn tấn công xâm nhập (IDPS). Intrusion Detection System hoạt động bằng cách tìm ra hoạt động độc hại, ghi dấu và báo cáo thông tin về hoạt động độc hại và cố gắng ngăn chặn hoạt động này xảy ra.

IPS là hệ thống được phát triển mở rộng dựa trên khả năng của các hệ thống phát hiện tấn công xâm nhập (Intrusion Detection System – IDS), phục vụ mục đích cơ bản là giám sát lưu lượng mạng và hệ thống. Điều làm cho IPS trở nên tiên tiến hơn các hệ thống IDS là IPS được đặt trực tiếp trên đường mạng (inline) vì vậy chúng có khả năng ngăn chặn các hoạt động độc hại đang xảy ra theo thời gian thực.

Intrusion Detection System hoạt động như thế nào?

IPS thường được đặt phía sau Firewall và hoạt động như một bộ lọc thứ cấp đối với các hoạt động độc hại. Do Intrusion Detection System được đặt inline nên chúng có khả năng phân tích và thực hiện các tác vụ tự động trên tất cả các luồng lưu lượng mạng. Các tác vụ này bao gồm cảnh báo cho quản trị viên, lược bỏ các gói tin nguy hiểm, tạm dừng lưu lượng truy cập đến từ các địa chỉ nguồn độc hại và khởi động lại các kết nối.

Một hệ thống IPS hoạt động hiệu quả phải đảm bảo giảm thiểu tối đa việc cản trở hiệu năng truy cập mạng. Ngoài ra, các hệ thống IPS phải hoạt động đủ nhanh và chính xác để có thể phát hiện được các hoạt động độc hại theo thời gian thực và giảm thiểu được cảnh báo giả.

Intrusion Detection System

Intrusion Detection System có nhiều cách khác nhau để phát hiện những hoạt động độc hại, tuy nhiên hai phương pháp chủ yếu được sử dụng là phát hiện dựa trên ký số (signature-based detection) và phát hiện dựa trên dấu hiệu bất thường (anomaly-based detection).

Phương pháp phát hiện dựa trên ký số sử dụng cơ sở dữ liệu các ký số chứa các dấu hiệu nhận dạng đặc thù tồn tại duy nhất bên trong mã nguồn của từng hoạt động xâm nhập khác nhau. Có hai loại phương pháp phát hiện dựa trên ký số cho các hệ thống IPS là: đối mặt với khai thác (exploit-facing) và đối mặt với lỗ hổng (vulnerability-facing). Phương thức đối mặt với khai thác phát hiện hoạt động độc hại dựa trên các kiểu tấn công phổ biến, trong khi phương pháp đối mặt với lỗ hổng cố gắng phát hiện hoạt động độc hại bằng cách xác định các lỗ hổng cụ thể.

Bên cạnh đó, phương pháp phát hiện dựa trên dấu hiệu bất thường hoạt động theo cách lấy mẫu ngẫu nhiên các lưu lượng truy cập mạng, rồi sau đó so sánh với các mẫu cơ sở đã thu thập trong điều kiện bình thường nhận diện các dấu hiệu tấn công xâm nhập.

Lựa chọn IPS như thế nào?

Thị trường Intrusion Detection System có một dải sản phẩm cung cấp rất rộng. Điều này làm cho việc lựa chọn hệ thống IPS phù hợp nhất là một nhiệm vụ khá khó khăn. Để giảm bớt sự phức tạp trong việc lựa chọn hệ thống IPS phù hợp nhất, Doanh nghiệp cần phải đưa ra mức ngân sách cụ thể, xác định các tiêu chí mà hệ thống IPS sẽ cần phải đáp ứng và nghiên cứu về các hệ thống IPS khác nhau có trên thị trường.

Tuy nhiên, một điều quan trọng cần lưu ý, Intrusion Detection System là một hệ thống độc lập và không phải là một giải pháp bảo mật toàn diện. Mặc dù IPS là một công nghệ tốt có thể giúp phát hiện các hoạt động độc hại trên mạng. Tuy nhiên, một chiến lược bảo mật toàn diện và hiệu quả sẽ cần tận dụng các công nghệ và giải pháp bảo mật bổ sung để có thể bảo vệ được dữ liệu, bảo mật cho các thiết bị đầu cuối cũng như hỗ trợ ứng phó sự cố an ninh mạng.

THÔNG TIN VỀ HÃNG CUNG CẤP GIẢI PHÁP

macafeelogo Fortinet