Системы обнаружения вторжений
IDS
Системы обнаружени вторжений (IDS или СОВ) предназначены для защиты компании от сетевых атак, которые могут повлечь нарушение конфиденциальности и целостности информации. Эти решения позволяют собирать информацию об обнаруженных атаках, несанкционированных действия и попытках взлома.
Архитектура систем обнаружения вторжений состоит из:
- сенсорной подсистемы, предназначенной для сбора событий, связанных с безопасностью защищаемой системы
- подсистемы анализа, предназначенной для выявления атак и подозрительных действий на основе данных сенсоров
- хранилища, обеспечивающего накопление первичных событий и результатов анализа
- консоли управления, позволяющей конфигурировать IDS/IPS систему, наблюдать за состоянием защищаемой системы и состоянием самой системы обнаружения вторжений, просматривать выявленные подсистемой анализа инциденты
Виды IDS систем:
- Network-based IDS - подключается к сетевому устройству (хаб, свитч) и ведёт отслеживание сетевого трафика
- Application Protocol-based IDS - отслеживаются и проверяются протоколы, по которым работают приложения
- Host-based IDS - чаще всего представляет из себя агент, расположенный на конечном устройстве. Отслеживание вредоносной активности ведётся путем анализа системных вызовов, логов приложений, модификаций файлов, состояния хоста.