Систем за откривање интрусион-а (ИДС) прати мрежни саобраћај и надгледа сумњиву активност и упозорава администратора система или мреже. У неким случајевима, ИДС може такође реаговати на аномалан или злонамерни саобраћај тако што предузима акције као што је блокирање корисничке или изворне ИП адресе од приступа мрежи.
ИДС долази у разним "укусима" и приближава се циљу откривања сумњивог саобраћаја на различите начине. Постоје мрежни системи (НИДС) и системи засновани на хостовима (ХИДС). Постоје ИДС који детектују на основу тражења конкретних потписа познатих претњи - слично начину на који антивирусни софтвер обично открива и штити од малвера - и постоје ИДС-ови који детектују на основу поређења саобраћајних образаца са основном линијом и тражећи аномалије. Постоје ИДС-ови који једноставно прате и упозоравају и постоје ИДС-ови који извршавају акцију или радње као одговор на откривену претњу. Укратко ћемо покрити све ове.
НИДС
Системи за детекцију мрежног упада постављају се на стратешку тачку или тачке унутар мреже како би пратили саобраћај до и са свих уређаја на мрежи. У идеалном случају, скенирали бисте све улазне и излазне саобраћајнице, али то би могло да створи уско грло које би угрозило укупну брзину мреже.
ХИДС
Системи за детекцију интрусион-система (Хост Интрусион Детецтион) се покрећу на појединачним домаћинима или уређајима на мрежи. ХИДС надгледа улазне и одлазне пакете са уређаја и упозорава корисника или администратора сумњиве активности
Сигнатуре Басед
ИДС заснован на потпису пратиће пакете на мрежи и упоређивати их са базом података о потписима или атрибутима из познатих злонамерних претњи. Ово је слично начину на који већина антивирусних програма открива малвер. Проблем је у томе што ће доћи до застоја између нове пријетње откривене у дивљини и потписа за откривање пријетње која се примјењује на ваш ИДС. Током тог временског периода, ИДС не би могао да открије нову претњу.
Аномали Басед
ИДС који је заснован на аномалији пратиће мрежни саобраћај и упоређује га са утврђеном основном линијом. Основна линија ће идентификовати оно што је "нормално" за ту мрежу - која врста пропусног опсега се генерално користи, који се протоколи користе, које портове и уређаји се обично повезују једни са другима - и упозоравају администратора или корисника када је саобраћај откривен који је неправилан, или знатно другачије од основног нивоа.
Пасивни ИДС
Пасивни ИДС једноставно открива и упозорава. Када се открије сумњив или злонамеран саобраћај, упозорење се генерише и шаље администратору или кориснику, а на њих се предузимају мере да блокирају активност или да одговоре на неки начин.
Реактивни ИДС
Реактивни ИДС неће само открити сумњив или злонамеран саобраћај и упозорити администратора, већ ће предузети унапред дефинисане проактивне акције како би одговорио на претњу. Обично то значи блокирање било којег даљњег мрежног саобраћаја са изворне ИП адресе или корисника.
Један од најпознатијих и широко распрострањених система за откривање интрусиона је отворени извор, слободно доступан Снорт. Доступан је за више платформи и оперативних система укључујући и Линук и Виндовс . Снорт има велике и лојалне слиједеће и постоји много ресурса доступних на Интернету гдје можете набавити потписе за имплементацију како бисте открили најновије претње. За друге бесплатне програме за откривање интрусион-а, можете посетити Фрее Интрусион Детецтион Софтваре .
Постоји танка линија између заштитног зида и ИДС-а. Постоји и технологија под називом ИПС - Систем за спречавање упада . ИПС је у суштини заштитни зид који комбинује филтрирање нивоа мреже и апликација са реактивним ИДС-ом како би проактивно заштитио мрежу. Чини се да, како време пролази на заштитним зидовима, ИДС и ИПС преузму више атрибута једни од других и замагљују линију још више.
У суштини, ваш заштитни зид је ваша прва линија одбране од периметра. Најбоље праксе препоручују да ваши заштитни зид буде експлицитно конфигурисан да ДЕНИ све долазеће саобраћај, а затим отворите рупице тамо где је то неопходно. Можда ћете морати отворити порт 80 за хостовање веб страница или порт 21 за хостовање ФТП сервера датотека . Свака од ових рупа може бити неопходна са једне тачке гледишта, али они такође представљају могуће векторе за злонамерни саобраћај да уђу у вашу мрежу умјесто да их блокира заштитни зид.
Тада ће ваш ИДС доћи. Да ли имплементирате НИДС широм читаве мреже или ХИДС-а на вашем специфичном уређају, ИДС ће пратити улазни и одлазни саобраћај и идентификовати сумњиви или злонамерни саобраћај који би некако могао заобићи свој заштитни зид или га може потећи и из ваше мреже.
ИДС може бити одличан алат за проактивно праћење и заштиту ваше мреже од злонамерне активности, међутим, они су такође склони лажним алармима. Са скоро било каквим ИДС решењем које имплементирате, потребно је да га "подесите" када се први пут инсталира. Потребно вам је ИДС да будете адекватно конфигурисани да препознате који је нормалан саобраћај у вашој мрежи насупрот томе што може бити злонамеран саобраћај, а ви или администратори одговорни за одговор на ИДС упозорења треба да разумеју шта упозорења значе и како да ефикасно одговорите.