Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить. Таким образом, IDS обнаруживает сетевые атаки на уязвимые службы и приложения, атаки, основанные на узлах, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (троянские кони, вирусы и т. д.). Это оказалось фундаментальной необходимостью для успешной работы сети.
Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что, хотя IDS только пассивно отслеживает и сообщает о состоянии сети, IPS выходит за рамки, она активно останавливает злоумышленников от выполнения злонамеренных действий.
В этом руководстве будут рассмотрены различные типы IDS, их компоненты и типы методов обнаружения, используемых в IDS.
Джеймс Андерсон представил идею обнаружения вторжений или неправомерного использования системы путем отслеживания паттернов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою статью под названием «Мониторинг и наблюдение за угрозами компьютерной безопасности». В 1984 году была запущена новая система под названием «Экспертная система обнаружения вторжений (IDES)». Это был первый прототип IDS, отслеживающий действия пользователя.
В 1988 году была представлена еще одна IDS, названная «Стог сена», которая использовала шаблоны и статистический анализ для обнаружения аномальной активности. Однако эта IDS не имеет функции анализа в реальном времени. Следуя той же схеме, Лаборатория Лоуренса Ливермора в Дэвисе Калифорнийского университета представила новую IDS под названием Network System Monitor (NSM) для анализа сетевого трафика. Впоследствии этот проект превратился в IDS под названием «Распределенная система обнаружения вторжений (DIDS)». На основе DIDS был разработан «Сталкер», и это была первая коммерчески доступная IDS.
В середине 1990-х годов SAIC разработала хост-систему IDS под названием «Система обнаружения неправильного использования компьютеров (CMDS)». Другая система под названием «Автоматическое измерение инцидентов безопасности (ASIM)» была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.
В 1998 году Мартин Рош запустил IDS с открытым исходным кодом для сетей под названием «SNORT», который впоследствии стал очень популярным.
По уровню анализа можно выделить два основных типа IDS:
Гибридная система обнаружения вторжений: это комбинация двух или более типов IDS. «Прелюдия» — пример такого типа IDS.
Система обнаружения вторжений состоит из трех различных компонентов, как кратко объясняется ниже:
В широком смысле методы, используемые в IDS, можно классифицировать как:
Активность онлайн-бизнеса в последнее время возросла, и компании имеют несколько офисов, расположенных в разных местах по всему миру. Необходимо постоянно поддерживать компьютерные сети на уровне Интернета и на уровне предприятия. Для компаний естественно становиться мишенью дурных глаз хакеров. Таким образом, защита информационных систем и сетей стала очень важной проблемой. В этом случае IDS стала жизненно важным компонентом сети организации, которая играет важную роль в обнаружении несанкционированного доступа к этим системам.