İzinsiz Giriş Tespit Sistemi (IDS)Ağdaki bir izci gibi, temel işlevi saldırı davranışını tespit etmek ve alarm göndermektir. Ağ trafiğini veya sunucu davranışını gerçek zamanlı olarak izleyerek, önceden belirlenmiş "saldırı imza kütüphanesini" (örneğin bilinen virüs kodları, hacker saldırı modelleri) "normal davranış temel çizgisiyle" (örneğin normal erişim sıklığı, veri iletim formatı) karşılaştırır ve bir anormallik bulunduğunda hemen alarm verir ve ayrıntılı bir kayıt tutar. Örneğin, bir cihaz sık sık sunucu şifresini kaba kuvvetle kırmaya çalıştığında, IDS bu anormal giriş modelini belirleyecek, yöneticiye hızlı bir şekilde uyarı bilgisi gönderecek ve daha sonraki izlenebilirlik için destek sağlamak üzere saldırı IP adresi ve deneme sayısı gibi önemli kanıtları saklayacaktır.
Dağıtım konumuna göre, IDS (Saldırı Tespit Sistemleri) temel olarak iki kategoriye ayrılabilir. Ağ IDS'leri (NIDS), tüm ağ segmentinin trafiğini izlemek ve cihazlar arası saldırı davranışını tespit etmek için ağın kilit noktalarına (örneğin, ağ geçitleri, anahtarlar) yerleştirilir. Ana Bilgisayar IDS'leri (HIDS) ise tek bir sunucuya veya terminale kurulur ve dosya değişikliği, işlem başlatma, port kullanımı vb. gibi belirli bir ana bilgisayarın davranışını izlemeye odaklanır; bu sayede tek bir cihaza yönelik saldırıyı doğru bir şekilde yakalayabilir. Bir e-ticaret platformu, NIDS aracılığıyla anormal veri akışı tespit etmişti; bilinmeyen bir IP adresinden çok sayıda kullanıcı bilgisi toplu olarak indiriliyordu. Zamanında gelen uyarı sayesinde teknik ekip, güvenlik açığını hızla kapatarak veri sızıntısı kazalarını önledi.
Mylinking™ Ağ Paket Aracıları'nın Saldırı Tespit Sistemi (IDS) içindeki uygulaması
İzinsiz Giriş Önleme Sistemi (IPS)IPS, ağdaki "koruyucu" görevi görerek, IDS'nin tespit fonksiyonu temelinde saldırıları aktif olarak engelleme yeteneğini artırır. Kötü amaçlı trafik tespit edildiğinde, yöneticinin müdahalesini beklemeden anormal bağlantıları kesme, kötü amaçlı paketleri düşürme, saldırı IP adreslerini engelleme gibi gerçek zamanlı engelleme işlemleri gerçekleştirebilir. Örneğin, IPS, fidye yazılımı virüsü özelliklerine sahip bir e-posta ekinin iletimini tespit ettiğinde, virüsün iç ağa girmesini önlemek için e-postayı hemen engeller. DDoS saldırıları karşısında, çok sayıda sahte isteği filtreleyebilir ve sunucunun normal çalışmasını sağlayabilir.
IPS'nin savunma yeteneği, "gerçek zamanlı yanıt mekanizması" ve "akıllı yükseltme sistemi"ne dayanmaktadır. Modern IPS, en son hacker saldırı yöntemleriyle senkronize olmak için saldırı imza veritabanını düzenli olarak günceller. Bazı üst düzey ürünler ayrıca, yeni ve bilinmeyen saldırıları (sıfır gün açıklarından yararlanma gibi) otomatik olarak tanımlayabilen "davranış analizi ve öğrenme" özelliğini de destekler. Bir finans kurumunun kullandığı bir IPS sistemi, anormal veritabanı sorgu sıklığını analiz ederek açıklanmamış bir güvenlik açığını kullanan bir SQL enjeksiyon saldırısını tespit edip engellemiş ve temel işlem verilerinin değiştirilmesini önlemiştir.
IDS ve IPS benzer işlevlere sahip olsalar da, önemli farklılıklar vardır: rol açısından bakıldığında, IDS "pasif izleme + uyarı"dır ve ağ trafiğine doğrudan müdahale etmez. Tam bir denetim gerektiren ancak hizmeti etkilemek istemeyen senaryolar için uygundur. IPS ise "aktif Savunma + Müdahale" anlamına gelir ve saldırıları gerçek zamanlı olarak engelleyebilir, ancak normal trafiği yanlış değerlendirmemesi gerekir (yanlış pozitifler hizmet kesintilerine neden olabilir). Pratik uygulamalarda genellikle "işbirliği" yaparlar - IDS, IPS için saldırı imzalarını tamamlamak üzere kapsamlı bir şekilde izleme ve kanıt saklama sorumluluğunu üstlenir. IPS ise gerçek zamanlı engelleme, tehditlere karşı savunma, saldırılardan kaynaklanan kayıpları azaltma ve "tespit-savunma-izlenebilirlik" şeklinde eksiksiz bir güvenlik kapalı döngüsü oluşturma sorumluluğunu üstlenir.
IDS/IPS, farklı senaryolarda önemli bir rol oynar: Ev ağlarında, yönlendiricilere entegre edilmiş saldırı engelleme gibi basit IPS yetenekleri, yaygın port taramalarına ve kötü amaçlı bağlantılara karşı savunma sağlayabilir; Kurumsal ağlarda, iç sunucuları ve veritabanlarını hedefli saldırılardan korumak için profesyonel IDS/IPS cihazlarının konuşlandırılması gereklidir. Bulut bilişim senaryolarında, bulut tabanlı IDS/IPS, kiracılar arasında anormal trafiği tespit etmek için esnek bir şekilde ölçeklenebilir bulut sunucularına uyum sağlayabilir. Hacker saldırı yöntemlerinin sürekli olarak geliştirilmesiyle birlikte, IDS/IPS de "yapay zeka destekli analiz" ve "çok boyutlu korelasyon tespiti" yönünde gelişerek ağ güvenliğinin savunma doğruluğunu ve yanıt hızını daha da artırmaktadır.
Mylinking™ Ağ Paket Aracıları uygulamasının Saldırı Önleme Sistemi (IPS) içindeki kullanımı
Yayın tarihi: 22 Ekim 2025
