Tìm hiểu và mô phỏng hệ thống phát hiện & ngăn chặn xâm nhập trong môi trường On-Premises
| Đặc điểm | IDS | IPS |
|---|---|---|
| Cơ chế | Passive (Thụ động) | Inline (Trực tiếp) |
| Hành động | Alert Only (Cảnh báo) | Block & Prevent (Chặn) |
| Độ trễ | Không ảnh hưởng | Có thể gây trễ (Latency) |
| Triển khai | SPAN / TAP port | In-line path |
Dựa trên các "mẫu vân tay" của mã độc đã biết. Rất hiệu quả với các cuộc tấn công phổ biến nhưng yếu trước Zero-day.
Xây dựng "Baseline" (ngưỡng bình thường). Nếu traffic có hành vi lạ (vượt ngưỡng), hệ thống sẽ cảnh báo. Dễ gây False Positives.
False Positive: Nhầm người tốt là kẻ xấu (chặn nhầm traffic hợp lệ).
False Negative: Kẻ xấu lọt lưới mà hệ thống không biết (nguy hiểm nhất).
Khi dùng **IPS Inline**, mọi gói tin phải được kiểm tra (Deep Packet Inspection) trước khi đi tiếp. Nếu thiết bị yếu, nó sẽ trở thành "Nút thắt cổ chai" (**Bottleneck**) của toàn mạng.
IPS thường có cơ chế **Fail-open bypass**. Nếu thiết bị IPS chết, nó sẽ cho phép traffic đi thẳng qua để tránh làm sập toàn bộ hệ thống mạng của doanh nghiệp.