Системы обнаружения вторжений (IDS)

Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (firewall), работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли Firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует и не маленькая.

Использование IDS помогает достичь нескольких целей:

  • Обнаружить вторжение или сетевую атаку;
  • Спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;
  • Выполнить документирование существующих угроз;
  • Обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
  • Получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
  • Определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

  • Плохой трафик

         - Использование эксплоитов (выявление Shellcode)

         - Сканирование системы (порты, ОС, пользователи и т.д.)

         - Атаки на такие службы как Telnet, FTP, DNS, и т.д.

         - Атаки DoS/DDoS

         - Атаки связанные с Web серверами (cgi, php, frontpage, iss и т.д.)

         - Атаки на базы данных SQL, Oracle и т.д.

         - Атаки по протоколам SNMP, NetBios, ICMP

         - Атаки на SMTP, imap, pop2, pop3

         - Различные Backdoors

         - Web-фильтры (порнография)

         - Вирусы