- Общие принципы построения сетей
- Коммутация каналов и пакетов
- Архитектура и стандартизация сетей
- Примеры сетей
- Сетевые характеристики
- Методы обеспечения качества обслуживания
- Линии связи
- Кодирование и мультиплексирование данных
- Беспроводная передача данных
- Первичные сети
- Технологии локальных сетей на разделяемой среде
- Коммутируемые сети Ethernet
- Интеллектуальные функции коммутаторов
- Адресация в стеке протоколов TCP/IP
- Протокол межсетевого взаимодействия
- Базовые протоколы TCP/IP
- Дополнительные функции маршрутизаторов IP-сетей
- Транспортные услуги и технологии глобальных сетей
- Технология MPLS
- Удаленный доступ
- Ethernet операторского класса
- Сетевая безопасность
- Сетевые службы
Системы обнаружения вторжений
Система обнаружения вторжений (Intrusion Detection System, IDS) — это программное или аппаратное средство, предназначенное для предупреждения, выявления и протоколирования некоторых типов сетевых атак.
В отличие от сетевых экранов и прокси-серверов, которые строят защиту сети исключительно на основе анализа сетевого трафика, системы обнаружения вторжений учитывают в своей работе различные подозрительные события, происходящие в системе.
Существуют ситуации, когда сетевой экран оказывается проницаемым для злоумышленника, например, когда атака идет через туннель VPN из взломанной сети или инициатором атаки является пользователь внутренней сети и т. п. И дело здесь не в плохой конфигурации межсетевого экрана, а в самом принципе его работы. Экран, несмотря на то что обладает памятью и анализирует последовательность событий, конфигурируется на блокирование трафика с заранее предсказуемыми признаками, например по IP-адресам или протоколам. Так что факт взлома внешней сети, с которой у него был установлен защищенный канал и которая до сих пор вела себя вполне корректно, в правилах экрана отразить нельзя. Точно так же, как и неожиданную попытку легального внутреннего пользователя скопировать файл с паролями или повысить уровень своих привилегий. Подобные подозрительные действия может обнаружить только система со встроенными агентами во многих точках сети, причем она должна следить не только за трафиком, но и за обращениями к критически важным ресурсам операционных систем отдельных компьютеров, а также иметь информацию о перечне подозрительных действий (сигнатур атак) пользователей. Таковой и является система обнаружения вторжений. Она не дублирует действия межсетевого экрана, а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, если ее не удалось зафиксировать в реальном времени.
»