IPS (Intrusion Prevention System) ระบบตรวจสอบและตอบโต้การบุกรุก
IPS (Intrusion Prevention System) คือ Software หรือ hardware ที่ได้รับการออกแบบมาเพื่อให้ตรวจสอบการบุกรุกโดยจะทำงานคล้ายๆกับ IDS แต่จะมีคุณสมบัติพิเศษในการจู่โจมกลับหรือ หยุดยั้งผู้บุกรุกได้ด้วยตัวเองโดยที่ไม่จำเป็นต้นอาศัยโปรแกรมหรือ hardware ตัวอื่นๆ
IPS นั้นจะจู่โจมผู้โจมตีโดยการส่งสัญญาน TCP Reset โต้ตอบกลับไปหรือจะสั่งการ firewall เพื่อปรับเปลี่ยนกฎบางข้อเพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครื่อข่าย การทำงานของ IPS นั้นจะใช้หลักการ Inline คือจะนำ IPS เข้าไปวางไว้ขั้นกลางการส่งข้อมูล(โดยทั่วไปจะวางไว้หลัง firewall)โดยจะไม่มีการกำหนด IP address เอาไว้เพื่อป้องกันการโจมตี (front end) ซึ่งในกรณีนี้อาจเกิดข้อเสียตรงที่ว่าถ้า IPS เกิดมีปัญหาหรือ Block Packet ผิดพลาดอาจส่งผลต่อการทำงานได้ (IPS ที่ได้อธิบาย
ไปนั้นเป็น IPS ชนิด NIPS)
การแบ่งประเภทของ IPSสามารถแบ่งได้ 2 ประเภทคือ
Network Based Intrusion Prevention System (NIDS) คือ IPS
- Network Based Intrusion Prevention System (NIPS)
- Host Based Intrusion Prevention System (HIPS)
ที่ได้รับการติดตั้งไว้ที่ส่วนหนึ่งของระบบเครือข่ายเพื่อป้องกันการบุกรุกHost Based Intrusion Prevention System (HIDS) คือ Software ที่ติดตั้งเข้าไปที่เครื่อง Server เพื่อป้องกันการบุกรุกหรือการโจมตีต่างๆ ตัวอย่างของโปรแกรมประเภทนี้ก็คือ Antivirus, AntiSpyware เป็นต้น
ที่สำคัญนั้นมีอยู่สามส่วนได้แก่
1. Sensor คือส่วนที่จะสร้างเหตุการณ์ที่เกี่ยวกับความปลอดภัยขึ้นมา
2. Console คือส่วนที่จะตรวจจับเหตุการณ์ต่าง, แจ้งเตือน รวมไปถึงการควบคุม Sensor
3. Engine เป็นส่วน ที่จะบันทึกเหตุการณ์จาก sensor ลงใน Database และจะแจ้งเตือนตามกฎที่ได้ตั้ง
เอาไว้ใน IDS
2. Console คือส่วนที่จะตรวจจับเหตุการณ์ต่าง, แจ้งเตือน รวมไปถึงการควบคุม Sensor
3. Engine เป็นส่วน ที่จะบันทึกเหตุการณ์จาก sensor ลงใน Database และจะแจ้งเตือนตามกฎที่ได้ตั้ง
เอาไว้ใน IDS
คำศัพท์เฉพาะที่เกี่ยวกับเรื่อง IDS
Alert/Alarm คือการแจ้งเตือนเมื่อระบบถูกโจมตี
True attack stimulus คือเหตุการณ์ที่กระตุ้นให้ IDS เกิดการแจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
False attack stimulus คือเหตุการณ์ที่กระตุ้นให้เกิดการแจ้งเตือนเมื่อไม่มีการโจมตีขึ้นจริง
False (False Positive) การแจ้งเตือนเมื่อไม่เกิดการโจมตีขึ้นจริง
False negative คือการที่ไม่แจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
Noise คือสิ่งรบกวนที่สามารถทำให้เกิดการแจ้งเตือนที่ผิดพลาดขึ้นได้
Alarm filtering คือการดำเนินการแยกการแจ้งเตือนที่ผิดพลาดออกจากการโจมตีจริงเพื่อให้การแจ้ง
เตือนมีความแม่นยำมากยิ่งขึ้น
True attack stimulus คือเหตุการณ์ที่กระตุ้นให้ IDS เกิดการแจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
False attack stimulus คือเหตุการณ์ที่กระตุ้นให้เกิดการแจ้งเตือนเมื่อไม่มีการโจมตีขึ้นจริง
False (False Positive) การแจ้งเตือนเมื่อไม่เกิดการโจมตีขึ้นจริง
False negative คือการที่ไม่แจ้งเตือนเมื่อเกิดการโจมตีขึ้นจริง
Noise คือสิ่งรบกวนที่สามารถทำให้เกิดการแจ้งเตือนที่ผิดพลาดขึ้นได้
Alarm filtering คือการดำเนินการแยกการแจ้งเตือนที่ผิดพลาดออกจากการโจมตีจริงเพื่อให้การแจ้ง
เตือนมีความแม่นยำมากยิ่งขึ้น
ตัวอย่างของ Intrusion Detection Systems (IDS)
• Snort
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS
• Endian Firewall
• Untangle
• Bro NIDS
• Prelude Hybrid IDS
• Osiris HIDS Osiris HIDS
• Sourcefire
• OSSEC HIDS OSSEC HIDS
• TweetyCoaster Little Lady Baby DDoS Shield
• Flowmatrix NBAD
• PHPIDS IDS
• PerlIDS