IDPS là giải pháp để phát hiện sự cố, phát hiện khi có kẻ tấn công vào lỗ hổng của hệ thống sau đó IDPS báo cáo sự cố cho người quản trị. Quản trị viên nhanh chóng khắc phục sự cố tránh ảnh hưởng nghiêm trọng tới hệ thống.
Một số IDPS có thểthay đổi thông tin khi phát hiện được mối đe dọa. Nhiều IDPS có thểngăn chặn các hoạt động thăm dò gây ảnh hưởng tới hệ thống cho quản trị viên. Ngoài ra còn giám sát lưu lượng mạng và các hoạt động có thể xảy ra với hệ thống. Ghi nhận các thông tin liên quan tới việc giám sát, những thông tin này thường được ghi nhận từdưới, và được gửi tới hệ thống máy chủ, thông tin bảo mật và hệ thống quản lý.
Phát hiện tấn công và ngăn chặn tấn công( IDPS ) chủ yếu tập trung vào tính đồng nhất sự cố có thể, cố gắng chặn, và cảnh báo cho người quản trị.
IDPSs hiện đã trở thành sự bổ sung cần thiết vào kết cấu hạ tầng an toàn của các tổ chức nhằm phát hiện tấn công và ngăn chặn tấn công. Có hai loại chính là:
Network-Based IDPS: Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà không làm thay đổi cấu trúc gói tin. Nó có thể là phần mềm triển khai trên server hoặc dạng thiết bị tích hợp ứng dụng.
Host-Based IDPS: Theo dõi các hoạt động bất thường trên các host riêng biệt. Nó được cài đặt trực tiếp trên các máy (host) cần theo dõi.
IDPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ hệ thống. Khi triển khai có thể giúp hệ thống: Theo dõi các hoạt động bất thường
44
đối với hệ thống, xác định ai đang tác động đến hệ thống và cách thức như thế nào và các hoạt động tấn công xảy ra tại vị trí nào trong cấu trúc mạng.
3.2. Network-Based IDPS 3.2.1 Tổng quan về mạng