Intrusion Detection System (IDS) - система обнаружения вторжений, предназначенная для выявления несанкционированной и вредоносной активности в сети или на отдельном узле.
В отличии от межсетевого экрана и IPS (Intrusion Prevention System) не блокируют сетевые пакеты и выступают в роли пассивного прослушивателя.
Задачи IDS:
- Анализ трафика
- Обнаружение проникновение в инфраструктуру
- Обнаружение вредоносной активности
- Обнаружение подозрительной активности
- Обнаружение аномалий
- Отправка уведомлений
Обычно выделяют следующие типы
NIDS (Network Intrusion Detection System) — системы, анализирующие сетевой трафик с целью выявления вредоносной активности.
HIDS (Host Intrusion Detection System) — инструменты, контролирующие работу отдельных устройств.
Существует три основных движка сетевых (NIDS) систем обнаружения вторжений
- SNORT - первая в мире система обнаружения вторжений. Snort является передовой системой предотвращения вторжений (IPS) с открытым исходным кодом. Может работать в режиме предотвращения вторжений.
- SURICATA - Suricata - независимая система обнаружения угроз с открытым исходным кодом. Может работать в режиме предотвращения вторжений.
- ZEEK (ранее bro-ids) - платформа с открытым исходным кодом для мониторинга сетевой безопасности.
Большинство коммерческих систем обнаружения вторжений (IDS) использует в качестве ядра одну из этих систем, с сос