IDS
Система обнаружения вторжений, СОВ (англ. Intrusion Detection System, IDS) — это ПО или аппаратное устройство для выявления случаев неавторизованного доступа в компьютерную сеть или систему, а также несанкционированного управления ими (в т. ч. через глобальную сеть Интернет). СОВ обеспечивают более надёжную защиту компьютерных систем.
Содержание
Общие сведения
Общую информацию Вы можете получить, перейдя по следующим ссылкам:
Ссылки
Система обнаружения вторжений в Википедии
Intrusion Detection Systems category at Open Directory Project
Passive IDS Security System Example
Guide to Intrusion Detection and Prevention Systems (IDPS)
Softpanorama: Intrusion Detection (General Issues)
Расширенные сведения
С дополнительной информацией об этом понятии Вы можете ознакомиться ниже.
СОВ применяются для обнаружения нарушений безопасности компьютерной системы путём вредоносных действий, таких как:
- сетевые атаки против уязвимых сервисов
- атаки, направленные на повышение привилегий
- неавторизованный доступ к важным файлам
- действия вредоносного ПО(вирусов, троянских коней и червей).
Составляющие компоненты СОВ
- сенсоры для сбора событий, влияющих на безопасность системы
- подсистема анализа для выявления атак и подозрительных действий на основе данных от сенсоров
- хранилище для накопления первичных событий и результатов анализа;
- консоль управления для конфигурирования СОВ и наблюдения за её состоянием и состоянием системы, а также для просмотра инцидентов, выявленных подсистемой анализа.
Виды систем обнаружения вторжений
СОВ классифицируются в зависимости от места расположения сенсоров и их типа, а также методов, которые использует подсистема анализа для выявления подозрительной активности. В простейших СОВ все компоненты связаны единый модуль или устройство.
- Сетевая СОВ - сенсоры системы расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети.
- Протокольная СОВ - используется для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка запросов (например, SQL). Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов.
- Основанная на прикладных протоколах СОВ — ведет наблюдение и анализ данных, передаваемых по специфичным для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.
- Хостовая СОВ - её сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.
- Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети.