[LUGOS-SEC] Re: [LUGOS] IDS
Stojan Rancic
stojan at aufbix.org
Fri Jul 2 14:01:05 CEST 2004
Hello Saso,
Friday, July 2, 2004, 1:51:49 PM, you wrote:
>>Signature based je stara tehnologija, ki se pocasi zamenjuje. ManHunt je =
>>bil med pionirji nove tehnologije (uporabljamo ze nekaj let), ISS pa je =
>>sploh vodilni na podrocju IDS in IPS (ISS uporabljamo skoraj leto dni).
> In kaj je ta nova tehnologija? Kako deluje? Kaj je prednost pred staro
> tehnologijo?
Novi IDS-i so bazirani na analizi samih protokolov, ki se pretakajo
cez njih. Prednost je predvsem v tem, da na podlagi nepravilnosti
protokolov zaznamo tudi do sedaj neznane napade, medtem ko pri
signature-based detekciji zaznamo le ze znane in obdelane tipe
napadov. Obstajajo tudi hibridni sistemi, ki zdruzujejo oba tipa
(signature-based so hitrejsi, saj je regexp matching enostavno delat),
tako da lahko zdruzis prednosti obeh svetov.
> In kaksna je prednost IPS pred IDS?
IPS (intrusion protection systems) poleg same detekcije vdorov tudi
aktivno posezejo v sam tok podatkov ter na podlagi predefiniranih
pravil blokirajo 'cuden' promet oz. prozijo ustrezne predefinirane
akcije. Zadeve ponavadi delujejo v kombinaciji vecih naprav, torej
IDS, ki prozi pozarni zid, poslje sporocilo o detekciji, itd, lahko pa
jih zdruzis v eno skatlo, kateri potem reces IPS.
--
Best regards,
Stojan mailto:stojan at aufbix.org
More information about the lugos-sec
mailing list