PIDS

Материал из devopswiki
(перенаправлено с «Протокольная СОВ»)
Перейти к: навигация, поиск

Основанная на протоколе система обнаружения вторжений (англ. Protocol-based Intrusion Detection System, PIDS) - это система обнаружения вторжений, которая обычно устанавливается на веб-сервер и используется для мониторинга и анализа протокола, используемого компьютерной системой.

PIDS мониторит динамическое поведение и состояние протокола. Обычно она состоит из агентов, которые чаще всего размещаются на внешнем интерфейса сервера. Система занимается мониторингом и анализом взаимодействия между подсоединенным извне устройством и сервером, который она защищает.

Типичный пример использования PIDS - это внешний интерфейс веб-сервера, на котором мониторится поток HTTP или HTTPS пакетов. Система "понимает" пакеты HTTP, относящиеся к веб-серверу, который она защищает. Таким образом, PIDS может предложить больший уровень защиты, чем фильтрация только по IP-адресу или номеру порта. Однако, эта улучшенная защита увеличивает нагрузку на вычислительные мощности на веб-сервера. При использовании HTTPS, система должна будет находиться в "промежутке" или становиться интерфейсом, где HTTPS не зашифрован непосредственно перед его входом в слой веб-представления.

Мониторинг динамического поведения

На базовом уровне PIDS обеспечивает и следит за соблюдением корректного использования протокола. На более продвинутом уровне PIDS может обучаться обучаться (самостоятельно или при помощи администратора) нормам конструкций протокола, и, таким образом, лучше обнаруживать аномальное поведение.

Ссылки

PIDS в Wikipedia

Определение PIDS?

Пример реализации PIDS