Saldırı Tespit ve Saldırı Engelleme Sistemleri (IDS/IPS)
Olası atak, ihlal ve tehditlerin tespiti için ağda gerçekleşen aktivitelerin izlenmesi ve trafiğin analiz edilmesini sağlayan yöntemleri kapsayan saldırı tespit sistemleri önemli güvenlik bileşenlerinden biridir. Saldırı engelleme sistemleri ise saldırıların saptanıp önlenmesi işlemlerini kapsayan ağ güvenlik sistemleridir.
Günümüzde ağların kompleks bir yapıya sahip olması, internet başta olmak üzere diğer ağlara birçok erişim noktası ile bağlı olması, siber saldırıların her geçen gün çeşitlenmesi ve artması, aynı zamanda bu karmaşık ağ sistemlerinin artık sadece şifreleme veya güvenlik duvarı ile korunamayacağı gibi gerçeklikler ağ trafiğinin devamlı izlenip saldırı girişimlerinin gerçek zamanlı olarak tespitini kaçınılmaz kılmıştır.
IDS/IPS sistemleri ağı sık sık monitör etmek, olası tehditleri tanımlamak ve bunlarla ilgili olay kayıtlarını(logları) tutmak, saldırıları durdurmak ve güvenlik yöneticilerine raporlamak gibi işlevlere sahiptir. Bu sistemler bazı durumlarda kurumların güvenlik politikalarındaki zayıflıkları ortaya çıkarmak için de kullanılabilmektedir. IDS/IPS aynı zamanda saldırganların ağla ilgili bilgi toplama faaliyetlerini algılayarak saldırganları bu erken aşamada da durdurabilme işlemini gerçekleştirebilirler.
Başlıca IDS metodolojileri
İmza tabanlı tespit: Olası tehditleri saptamak için ağ trafiğinde zararlı byte veya paket dizilerini(string) arayarak daha önceden tespit edilmiş atak imzaları ile karşılaştırır.
Anomali tabanlı tespit: Ağdaki trafiği daha önceden belirlenmiş normal trafikle karşılaştırarak bu normal seviyeden ciddi seviyedeki sapmaları tespit etmeye çalışır. Daha önceden bilinmeyen tehditleri tespit etmede etkilidir.
Durumlu protokol analizi: Zararsız protokol aktiviteleri tanımlanarak oluşturulan profiller ile gözlenen her bir şüpheli aktivitenin karşılaştırılması ve sapmaların tespit edilmesi gibi adımları içerir.