(intrusion detection systems (IDS و (intrusion prevention systems (IPS یکی از سیستم هایی است که در مفهوم defense in depth برای محافظت از شبکه در برابر ترافیک مخرب مورد استفاده قرار می گیرد. IPS/IDS ترافیک را با جزئیات بیشتری نسبت به فایروال کنترل می کند و این بررسی را تا لایه هفتم انجام میدهد. سیسکو برای اجرا سیستم IPS-IDS پلتفرم های مختلفی را ارائه کرده است اما مفاهیم در همه آنها یکسان است.
اضافه کردن یک سنسور IPS/IDS باعث افزایش امنیت شبکه می شود اما از سوی دیگر می تواند برای شبکه معضل باشد. برای محافظت از بخش های مختلف شبکه شما نیاز دارید که سنسور اضافه کنید. سیسکو برای رفع این نگرانی ها چندین پلتفرم مختلف برای پیاده سازی IPS-IDS ارائه کرده است که به شرح زیر هستند :
یک سنسور دستگاهی است که به ترافیک شبکه نگاه می کند سپس براساس نقش هایی که برای سنسور تعیین شده است تشخیص می دهد که ترافیک سالم است یا مخرب. چون این سیستم برای نقش های تنظیم شده کار می کند هیچ وقت عملکرد صد درصد صحیح را نمی توان از آن انتظار داشت.
زمانی که با IPS/IDS کار می کنیم با واژه های زیر سرو کار خواهید داشت :
منظور از false positive زمانی است که سنسور ترافیک سالم را به عنوان ترافیک مخرب شناسایی کند. False negative زمانی است که ترافیک مخرب توسط سنسور شناسایی نشود. True positive زمانی است که ترافیک مخرب به درستی شناسایی می شود. True negative زمانی است که ترافیک سالم شبکه از نظر سنسور نیز ترافیک سالم است.