PIDS
Основанная на протоколе система обнаружения вторжений (англ. Protocol-based Intrusion Detection System, PIDS) - это система обнаружения вторжений, которая обычно устанавливается на веб-сервер и используется для мониторинга и анализа протокола, используемого компьютерной системой.
PIDS мониторит динамическое поведение и состояние протокола. Обычно она состоит из агентов, которые чаще всего размещаются на внешнем интерфейса сервера. Система занимается мониторингом и анализом взаимодействия между подсоединенным извне устройством и сервером, который она защищает.
Типичный пример использования PIDS - это внешний интерфейс веб-сервера, на котором мониторится поток HTTP или HTTPS пакетов. Система "понимает" пакеты HTTP, относящиеся к веб-серверу, который она защищает. Таким образом, PIDS может предложить больший уровень защиты, чем фильтрация только по IP-адресу или номеру порта. Однако, эта улучшенная защита увеличивает нагрузку на вычислительные мощности на веб-сервера. При использовании HTTPS, система должна будет находиться в "промежутке" или становиться интерфейсом, где HTTPS не зашифрован непосредственно перед его входом в слой веб-представления.
Мониторинг динамического поведения
На базовом уровне PIDS обеспечивает и следит за соблюдением корректного использования протокола. На более продвинутом уровне PIDS может обучаться обучаться (самостоятельно или при помощи администратора) нормам конструкций протокола, и, таким образом, лучше обнаруживать аномальное поведение.