IDS

IDS — это решение, которое анализирует данные и поведение пользователей в сети для выявления вторжений. При попытке компрометации системы сервис сообщает об этом администратору, чтобы тот мог принять срочные меры. IDS могут представлять собой программные или аппаратные средства, а также их комбинацию.

Какие угрозы выявляет IDS

• доступ неавторизованных пользователей к данным;
• атаки на периметр сети;
• отклонения от корпоративных политик безопасности;
• вредоносные программы и скрипты, запущенные внутри периметра;
• аномальную активность в сети.

Как IDS ищет угрозы

Система обнаружения вторжений может работать на основе одного или нескольких методов:

• Сигнатурный. Сопоставляет выявленную аномалию с известными сигнатурами атак и уведомляет администратора о найденных соответствиях. Новая техника атаки, сигнатуры которой пока нет в базе, может остаться незамеченной.
• На основе аномалий. Используется машинное обучение, когда система анализирует все варианты поведения пользователей в сети и определяет норму. Далее IDS сравнивает текущую активность с полученным образцом и выявляет несоответствия.
• Репутационный. Если определённый IP-адрес или домен ранее ассоциировался с подозрительной активностью, система уведомит об этом администратора. 
• На основе протоколов. Анализируя их, система способна выявлять аномальные действия, например, многократные одновременные запросы TCP-соединения, если они совершаются с IP-адреса слишком часто.

Первые два метода наиболее распространены в IDS, тогда как последние два используются реже. 

Место установки IDS

По этому параметру системы обнаружения можно разделить на:

1. Сетевые (Network Intrusion Detection System, NIDS). Анализируют трафик всех устройств сети, выявляя и внешние, и внутренние угрозы.
2. Хостовые (Host Intrusion Detection System, HIDS). Ищут угрозы на отдельном устройстве, контролируя состояние всех файлов и уведомляя о значимых изменениях.
3. Протокольные (Protocol-based Intrusion Detection System, PIDS). Проверяют всё, что передаётся по протоколу HTTP/HTTPS. Используются для контроля данных, которыми устройство обменивается с интернетом.
4. Прикладные (Application Protocol-based Intrusion Detection System, APIDS). Оперативно проверяют пакеты, которые передаются по протоколу, выбранному для решения конкретной узкой задачи вроде обмена данными с базой SQL.
5. Гибридные (Hybrid Intrusion Detection System, HIDS аналогично второму типу). Могут сочетать в себе свойства двух или более из перечисленных выше систем.

Применение IDS с другими ИБ-инструментами

Системы обнаружения вторжений часто интегрируют с:

• SIEM, куда поступают сведения о найденных угрозах. Так аналитики могут легче выявить ложные срабатывания и определить, на что реагировать в первую очередь.
• IPS, которые обеспечивают автоматические неотложные действия при обнаружении угроз.
• Межсетевыми экранами, например, DBF. IDS выявляет угрозы, которые затем блокирует фаерволл.
• SOC, в которых они используются для анализа трафика и выявления поведенческих аномалий. Например, именно так реализована интеграция сенсоров IDS в Solar JSOC.