Saldırı Algılama Sistemi (IDS)Ağdaki keşif aracına benzer şekilde, temel işlevi izinsiz giriş davranışını tespit edip alarm göndermektir. Ağ trafiğini veya ana bilgisayar davranışını gerçek zamanlı olarak izleyerek, önceden ayarlanmış "saldırı imza kütüphanesini" (bilinen virüs kodu, bilgisayar korsanı saldırı düzeni gibi) "normal davranış temel çizgisiyle" (normal erişim sıklığı, veri aktarım biçimi gibi) karşılaştırır ve bir anormallik tespit edildiğinde derhal bir alarm tetikler ve ayrıntılı bir günlük kaydeder. Örneğin, bir cihaz sunucu parolasını sık sık kaba kuvvetle kırmaya çalıştığında, IDS bu anormal oturum açma düzenini tespit eder, yöneticiye hızla uyarı bilgileri gönderir ve saldırı IP adresi ve girişim sayısı gibi önemli kanıtları saklayarak sonraki izlenebilirlik için destek sağlar.
Dağıtım konumuna göre, IDS temel olarak iki kategoriye ayrılabilir. Ağ IDS'leri (NIDS), tüm ağ segmentinin trafiğini izlemek ve cihazlar arası saldırı davranışlarını tespit etmek için ağın kilit düğümlerine (örneğin ağ geçitleri, anahtarlar) dağıtılır. Ana Bilgisayar IDS'leri (HIDS), tek bir sunucuya veya terminale kurulur ve dosya değişikliği, işlem başlatma, bağlantı noktası kullanımı vb. gibi belirli bir ana bilgisayarın davranışlarını izlemeye odaklanır; bu sayede tek bir cihaz için saldırıları doğru bir şekilde tespit edebilir. Bir e-ticaret platformu, NIDS üzerinden anormal veri akışı tespit etmişti; çok sayıda kullanıcı bilgisi, bilinmeyen bir IP adresinden toplu olarak indiriliyordu. Zamanında yapılan uyarının ardından, teknik ekip güvenlik açığını hızla kapattı ve veri sızıntısı kazalarını önledi.
Saldırı Algılama Sisteminde (IDS) Mylinking™ Ağ Paket Brokerleri uygulaması
Saldırı Önleme Sistemi (IPS)Ağdaki "koruyucu" görevi görür ve IDS'nin tespit fonksiyonu sayesinde saldırıları aktif olarak engelleme yeteneğini artırır. Kötü amaçlı trafik tespit edildiğinde, yöneticinin müdahalesini beklemeden anormal bağlantıları kesme, kötü amaçlı paketleri düşürme, saldırı IP adreslerini engelleme vb. gibi gerçek zamanlı engelleme işlemleri gerçekleştirebilir. Örneğin, IPS, fidye yazılımı virüsü özellikleri taşıyan bir e-posta ekinin iletildiğini tespit ettiğinde, virüsün dahili ağa girmesini önlemek için e-postayı anında engeller. DDoS saldırıları karşısında ise çok sayıda sahte isteği filtreleyerek sunucunun normal çalışmasını sağlayabilir.
IPS'nin savunma kabiliyeti, "gerçek zamanlı müdahale mekanizması" ve "akıllı yükseltme sistemi"ne dayanır. Modern IPS, en yeni bilgisayar korsanı saldırı yöntemlerini senkronize etmek için saldırı imza veritabanını düzenli olarak günceller. Bazı üst düzey ürünler, yeni ve bilinmeyen saldırıları (sıfır gün saldırıları gibi) otomatik olarak tespit edebilen "davranış analizi ve öğrenme" özelliğini de destekler. Bir finans kuruluşu tarafından kullanılan bir IPS sistemi, anormal veritabanı sorgu sıklığını analiz ederek, açıklanmayan bir güvenlik açığı kullanarak bir SQL enjeksiyon saldırısını tespit edip engellemiş ve temel işlem verilerinin değiştirilmesini önlemiştir.
IDS ve IPS benzer işlevlere sahip olsalar da, aralarında önemli farklar vardır: Rol açısından bakıldığında, IDS "pasif izleme + uyarı"dır ve ağ trafiğine doğrudan müdahale etmez. Tam denetim gerektiren ancak hizmeti etkilemek istemeyen senaryolar için uygundur. IPS, "aktif Savunma + Müdahale" anlamına gelir ve saldırıları gerçek zamanlı olarak engelleyebilir, ancak normal trafiği yanlış değerlendirmediğinden emin olmalıdır (yanlış pozitifler hizmet kesintilerine neden olabilir). Pratik uygulamalarda genellikle "iş birliği yaparlar"; IDS, IPS için saldırı imzalarını desteklemek üzere kanıtları kapsamlı bir şekilde izlemek ve saklamaktan sorumludur. IPS ise gerçek zamanlı müdahale, savunma tehditleri, saldırıların neden olduğu kayıpları azaltma ve "tespit-savunma-izlenebilirlik"ten oluşan eksiksiz bir güvenlik kapalı döngüsü oluşturmaktan sorumludur.
IDS/IPS, farklı senaryolarda önemli bir rol oynar: Ev ağlarında, yönlendiricilere entegre saldırı önleme gibi basit IPS yetenekleri, yaygın port taramalarına ve kötü amaçlı bağlantılara karşı koruma sağlayabilir; kurumsal ağlarda ise, dahili sunucuları ve veritabanlarını hedefli saldırılardan korumak için profesyonel IDS/IPS cihazlarının konuşlandırılması gerekir. Bulut bilişim senaryolarında, bulut tabanlı IDS/IPS, kiracılar genelinde anormal trafiği tespit etmek için esnek bir şekilde ölçeklenebilir bulut sunucularına uyum sağlayabilir. Bilgisayar korsanlarının saldırı yöntemlerinin sürekli olarak güncellenmesiyle birlikte, IDS/IPS de "yapay zeka akıllı analizi" ve "çok boyutlu korelasyon tespiti" yönünde gelişerek ağ güvenliğinin savunma doğruluğunu ve müdahale hızını daha da artırmaktadır.
Saldırı Önleme Sisteminde (IPS) Mylinking™ Ağ Paket Brokerleri uygulaması
Gönderim zamanı: 22-Eki-2025
