IDS – это программный комплекс, направленный на обнаружение и регистрацию фактов подозрительных действий неавторизованного характера в компьютерной сети. Система выявляет инцидент и уведомляет ответственного сотрудника об этом. Подобное ПО используется для выявления вредоносной активности, направленной на нарушение информационной безопасности организации. К такой активности можно отнести: сетевые атаки, неавторизованный доступ к закрытой информации, а также действие вредоносного ПО.

История IDS

IDS – аббревиатура от Intrusion Detection System. Считается, что прообраз современной концепции технологии появился в восьмидесятых благодаря Джеймсу Андерсону, представителю подразделения Минобороны США. На тот момент прообраз состоял из нескольких программных инструментов, который был создан для помощи в проверке журналов аудита. Спустя несколько лет Дороти Элизабет Деннинг презентовала модель IDS, которая и стала базой современных систем. В модели использовалась статистика для обнаружения аномалий. Акцент этой модели делался на двойственном подходе – сочетании экспертной системы, основанной на правилах обнаружений уже знакомых типов вторжения, и компонента выяснения аномалий. Третьим компонентом такой системы было предложено сделать нейронную сеть.

В начале девяностых ученые Калифорнийского университета в Дейвисе создали прототип распределенной системы обнаружений вторжений (DIDS), относящуюся к классу экспертных. Спустя 10 лет была использована утилита tcpdump для построения профилей правил классификации.

В 2015 году был предложен механизм регистрации вторжений на основе аномалий, например, System-on-Chip в Internet of things.

Структура IDS

Все IDS имеют достаточно стандартное строение:

• систему из датчиков для фиксации и сбора данных безопасности защищаемого объекта;
• подсистему, обнаруживающую атаки и любые подозрительные активности, зарегистрированные датчиками;
• хранилище, где накапливаются начальные события и итоги анализа;
• консоль для управления, с помощью которой можно наблюдать за системой и видеть зафиксированные случаи подозрительной активности.

Виды IDS

Есть несколько видов классификаций IDS: по месту обнаружения и методу обнаружения. Сочетание нескольких из них называется гибридной IDS.

ПО ОБНАРУЖЕНИЮ

• Сетевые
  NIDS контролирует входящий сетевой трафик на наличие угроз. Как только IDS настроен на понимание шаблонов трафика, специфичных для конкретной сети, оба могут распознавать известные «плохие» шаблоны и/или обнаруживать ненормальное поведение на основе исторического поведения «хорошего» трафика.  Когда IDS основана на сети, она обычно помещается в сеть для анализа трафика со всех внешних устройств, которые касаются этой сети. Обычное использование NIDS – обнаружение и мониторинг трафика, ведущего в брандмауэр, с целью фиксации возможной попытки взлома этого брандмауэра. Хотя исходящий трафик также можно анализировать с использованием NIDS, известно, что этот подход вызывает узкие места, которые негативно влияют на производительность сети.
• По хостам
  Основной подход HIDS состоит в том, чтобы делать снимки системных файлов, анализировать их на наличие изменений, и, в случае обнаружения ненормального поведения, администратор получает предупреждение. Обычно HIDS используется для предупреждения сетевых менеджеров о существующих угрозах, которые могут уже существовать в сети (например, вредоносные программы), или об угрозах, возникающих в этой сети, таких как внутренняя угроза. IDS на основе хоста может непрерывно отслеживать системные журналы, важные файлы и обнаруживать подозрительные изменения, которые исходят от внутреннего пользователя.

ПО МЕТОДУ

• По сигнатурам
  Такие IDS обнаруживают вторжения благодаря поиску определенных шаблонов – сигнатур. Минус:  по сигнатурам возможно зафиксировать уже известные последовательности, однако сложно находить что-то новое и неизвестное, поскольку отсутствуют доступные шаблоны.
• По аномалиям
  Особенность такого типа IDS – использование машинного обучения для создания модели, “заслуживающей доверия”, чтобы впоследствии иметь образец для сравнения. Поскольку эти модели обучаются в соответствии с приложениями и конфигурациями оборудования, этот метод более точен и обладает лучшим обобщенным свойством относительно IDS по сигнатурам. Однако тут есть свои изъяны: ранее неизвестная легальная активность также может быть расценена как вредоносная.

Системы обнаружения вторжений могут быть важной частью обнаружения угроз, которые уже существуют в сети. Однако, поскольку IDS ориентирован на обнаружение и, как правило, является пассивной системой (не принимает мер в отношении обнаруженной угрозы), IDS редко используется в качестве автономной системы.