Intrusion Detection System (IDS) — система обнаружения вторжений — программный продукт или устройство, предназначенные для выявления несанкционированной и вредоносной активности в компьютерной сети или на отдельном хосте.
Задача IDS — обнаружить проникновение киберпреступников в инфраструктуру и сформировать оповещение безопасности (функций реагирования, например блокировки нежелательной активности, в таких системах нет), которое будет передано в SIEM-систему для дальнейшей обработки.
Системы обнаружения угроз отличаются от классических файрволов, поскольку последние опираются на набор статических правил и просто ограничивают трафик между устройствами или сегментами сети, не отправляя уведомлений. Развитием идеи IDS являются Intrusion Prevention System (IPS, системы предотвращения вторжений), способные не только фиксировать, но и блокировать угрозы.
Классификация IDS
Системы обнаружения вторжений принято классифицировать по сфере применения. Выделяют следующие типы IDS:
- Network Intrusion Detection System (NIDS) — системы, анализирующие сетевой трафик с целью выявления вредоносной активности. В отличие от межсетевых экранов, NIDS выполняют мониторинг как входящего, так и внутреннего сетевого трафика.
- Host Intrusion Detection System (HIDS) — инструменты, контролирующие работу отдельных устройств. Обычно HIDS фиксирует состояние всех файлов, размещенных на конечной точке, и информирует администратора об удалении или изменении системных объектов. Кроме того, этот вид IDS проверяет все пакеты данных, передаваемые на устройство или с него.
- Protocol-based Intrusion Detection System (PIDS) — система проверки данных, передаваемых по протоколу HTTP/HTTPS. Обычно PIDS применяется для защиты веб-серверов и контролирует трафик, передаваемый между устройством пользователя и интернет-ресурсом.
- Application Protocol-based Intrusion Detection System (APIDS) — система обнаружения вторжений, контролирующая пакеты, передаваемые по определенному протоколу прикладного уровня — например, заданному для обращения к базе данных SQL.
- Hybrid Intrusion Detection System — гибридная система для комплексного обнаружения вредоносной активности, сочетающая свойства двух или более из вышеперечисленных типов, например NIDS и HIDS.
Принцип работы IDS
Системы обнаружения вторжения детектируют вредоносную активность одним из двух методов:
- Обнаружение на основании сигнатур — метод, при котором IDS сравнивает проверяемые данные с известными образцами сигнатур атаки и создает оповещение безопасности в случае их совпадения. Так можно выявлять вторжения, которые основаны на ранее известных способах проникновения.
- Обнаружение на основании аномалий. В этом случае IDS сравнивает активность в сети или на хосте с моделью корректного, доверенного поведения контролируемых элементов и фиксирует отклонения от нее. Этот метод позволяет выявлять новые угрозы.