PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
6. Hệ Thống IDS Và IPS
6.3 Đối chiếu IDS và IPS
Hiện nay, công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Với IPS, người quản trị
không những có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn cơng mà cịn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo quy luật do nhà quản trị định sẵn.
Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng khơng phát hiện
ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn
công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của
IDS là tổng quát, dẫn đến tình trạng cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. IPS thì được xây dựng trên rất nhiều cơ chế tấn cơng và hồn tồn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm vào đó, độ chính xác của IPS là cao hơn so với IDS.
Kiểm chứng qua ví dụ như nếu kẻ tấn cơng giả mạo của một đối tác, ISP, hay
là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ, mặc dù IDS có thể phát hiện được cuộc tấn cơng từ chối dịch vụ và IP của khách hàng, của ISP, của đối tác. Nhưng
với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn cơng và sau đó là
khố ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn