IDS

Материал из devopswiki
(перенаправлено с «Система обнаружения вторжений»)
Перейти к: навигация, поиск

Система обнаружения вторжений, СОВ (англ. Intrusion Detection System, IDS) — это ПО или аппаратное устройство для выявления случаев неавторизованного доступа в компьютерную сеть или систему, а также несанкционированного управления ими (в т. ч. через глобальную сеть Интернет). СОВ обеспечивают более надёжную защиту компьютерных систем.

Общие сведения

Общую информацию Вы можете получить, перейдя по следующим ссылкам:

Ссылки

Система обнаружения вторжений в Википедии

Intrusion Detection Systems category at Open Directory Project

Passive IDS Security System Example

Guide to Intrusion Detection and Prevention Systems (IDPS)

Softpanorama: Intrusion Detection (General Issues)

Расширенные сведения

С дополнительной информацией об этом понятии Вы можете ознакомиться ниже.

СОВ применяются для обнаружения нарушений безопасности компьютерной системы путём вредоносных действий, таких как:

  • сетевые атаки против уязвимых сервисов
  • атаки, направленные на повышение привилегий
  • неавторизованный доступ к важным файлам
  • действия вредоносного ПО(вирусов, троянских коней и червей).

Составляющие компоненты СОВ

  1. сенсоры для сбора событий, влияющих на безопасность системы
  2. подсистема анализа для выявления атак и подозрительных действий на основе данных от сенсоров
  3. хранилище для накопления первичных событий и результатов анализа;
  4. консоль управления для конфигурирования СОВ и наблюдения за её состоянием и состоянием системы, а также для просмотра инцидентов, выявленных подсистемой анализа.

Виды систем обнаружения вторжений

СОВ классифицируются в зависимости от места расположения сенсоров и их типа, а также методов, которые использует подсистема анализа для выявления подозрительной активности. В простейших СОВ все компоненты связаны единый модуль или устройство.

  • Сетевая СОВ - сенсоры системы расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети.
  • Протокольная СОВ - используется для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка запросов (например, SQL). Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов.
  • Основанная на прикладных протоколах СОВ — ведет наблюдение и анализ данных, передаваемых по специфичным для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
  • Хостовая СОВ - её сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.
  • Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети.

Свободно распространяемые СОВ

  • Snort NIDS
  • Bro NIDS
  • Prelude Hybrid IDS
  • OSSEC HIDS
  • Samhain HIDS
  • Suricata
  • Open Source Tripwire

Коммерческие СОВ

  • CATNET(французская)
  • Check Point IPS Blade
  • Check Point IPS
  • McAfee IPS
  • IBM ISS Proventia IPS