IDS

10 декабря, 2025, 16:32

IDS (Intrusion Detection System, Система обнаружения вторжений) — это система пассивного мониторинга безопасности, которая анализирует сетевой трафик или активность на хостах для выявления подозрительных событий, признаков атак или нарушений политик безопасности. В отличие от IPS, IDS не блокирует трафик, а только генерирует оповещения (алерты) для дальнейшего анализа специалистами.

Возможности и типы IDS:

  • Сетевая IDS (Network IDS, NIDS): Устанавливается в ключевых точках сети (например, на границе) и анализирует копии всего проходящего трафика (используя зеркалирование портов, SPAN) для обнаружения аномалий и атак, видимых в сетевых пакетах.
  • Хостовая IDS (Host-based IDS, HIDS): Устанавливается на отдельные серверы или рабочие станции. Мониторит активность на самом хосте: изменения в критических системных файлах, записи в логах, подозрительные процессы, попытки повышения привилегий. HIDS является предшественником современных EDR-систем.
  • Методы обнаружения: Использует те же методы, что и IPS: сигнатурный анализобнаружение аномалий и политики безопасности.
  • Пассивный мониторинг: Не влияет на производительность сети (так как работает с копией трафика) и не создает риска блокировки легитимного трафика из-за ложных срабатываний.

IDS и IPS являются взаимодополняющими технологиями. Классическое разделение труда: IDS используется для широкого мониторинга, обнаружения и расследования, в то время как IPS — для автоматического отражения известных и массовых атак. В современных реалиях чистая IDS встречается реже — ее функционал интегрирован в NGFW и SIEM-системы. Данные от множества распределенных IDS-сенсоров (как сетевых, так и хостовых) стекаются в SIEM для централизованной корреляции событий, что позволяет выявлять сложные многоэтапные атаки, которые не видны на отдельно взятом сенсоре.

Продолжение ниже

Боссы российского кибербеза

Упоминания