Система обнаружения вторжений ( IDS , также система предотвращения вторжений или IPS ) — это устройство или программное приложение, которое отслеживает сеть или системы на предмет злонамеренной активности или нарушений политики. [1] О любом вторжении или нарушении обычно сообщается либо администратору, либо централизованно собирается с помощью системы управления информацией и событиями безопасности (SIEM) . Система SIEM объединяет выходные данные из нескольких источников и использует методы фильтрации сигналов тревоги, чтобы отличать вредоносные действия от ложных сигналов тревоги. [2]
Типы IDS варьируются от отдельных компьютеров до больших сетей. [3] Наиболее распространенными классификациями являются сетевые системы обнаружения вторжений ( NIDS ) и хост-системы обнаружения вторжений ( HIDS ). Система, отслеживающая важные файлы операционной системы, является примером HIDS, а система, анализирующая входящий сетевой трафик, — примером NIDS. Также можно классифицировать IDS по способу обнаружения. Наиболее известными вариантами являются обнаружение на основе сигнатур (распознавание плохих шаблонов, таких как вредоносное ПО ).) и обнаружение на основе аномалий (обнаружение отклонений от модели «хорошего» трафика, которая часто опирается на машинное обучение). Другой распространенный вариант — обнаружение на основе репутации (распознавание потенциальной угрозы по репутационным показателям). Некоторые продукты IDS имеют возможность реагировать на обнаруженные вторжения. Системы с возможностями реагирования обычно называют системой предотвращения вторжений . [4] Системы обнаружения вторжений также могут служить определенным целям, дополняя их специальными инструментами, такими как использование приманки для привлечения и характеристики вредоносного трафика. [5]
Хотя оба они связаны с сетевой безопасностью, IDS отличается от брандмауэра тем, что традиционный сетевой брандмауэр (в отличие от брандмауэра следующего поколения ) использует статический набор правил для разрешения или запрета сетевых подключений. Он неявно предотвращает вторжения, предполагая, что был определен соответствующий набор правил. По сути, брандмауэры ограничивают доступ между сетями, чтобы предотвратить вторжение и не сигнализировать об атаке изнутри сети. IDS описывает предполагаемое вторжение после того, как оно произошло, и сигнализирует тревогу. IDS также отслеживает атаки, исходящие из системы. Традиционно это достигается путем изучения сетевых коммуникаций, выявления эвристическихшаблоны (часто называемые сигнатурами) распространенных компьютерных атак, а также принятие мер по предупреждению операторов. Система, которая завершает соединения, называется системой предотвращения вторжений и осуществляет контроль доступа подобно брандмауэру прикладного уровня . [6]
IDS можно классифицировать по тому, где происходит обнаружение (сеть или хост ) или по используемому методу обнаружения (на основе сигнатур или аномалий). [7]