IDS Nedir?

[Murat]

Yazının orijinal tarihi: 2006-02-23


Ids'ler birinci nesil, ips'ler ikinci nesil
diyerek özetlenebilir, temelde ips ler ikiye ayrılırlar. ben bunlara, gerçek ve fake demekteyim.
bazı ips ler içlerinde ids yapısını taşırlar (atak imzaları vb..) ama bir ids gibi binlercesini barındırmak yerine, en çok gelen atak imzaları ile 100-200 kadar sınırlıdır, bunun üstüne protocol anomaly denen rfc uyumsuz paketleri saldırı olarak kabul edip bloklayan bir yapı kullanırlar. bazı ürünlerde buna ilaveten birde istatistiksel tabanlı (geşen haftadaki o gün ve saatte kaç session olmuş vs.. vs..) checkin işlemleride vardır.


eh tabi artık rfc uyumsuz atakmı kaldı diye düşününce gene hikaye olmakta hemen hemen tümü...

iyi bir ips rfc uyumlu ataklarıda engellemelidir, bunun içinde istatistiksel verileride bir ölçüde kullanabilir gayette normaldir. ama temelinde bir nevi yapay zeka çalışmaladır, eklenen bloklamadıda farklı bir algoritma ile tekrar check edip bloklamanın doğru olup olmadığını kontrol etmelidir.

eh tabi böyle ürünlerde bulmak zor... bahsettiğim tüm özellikleri destekleyen sadece bir tek ürün var...

Şu sıralar idp'ler çıktı, iki teknolojinin karışımı olan cihazlar.

[shadow]

IPS lerde önemli noktalardan biri de işin false pozitif tarafı...

1. değil mi ?
2. Ona da bir değinsen seviniriz valla...

shadow