Системы обнаружения вторжений.
Защита компьютера от несанкционированного доступа.
Системы обнаружения вторжений (IDS - Intrusion Detection System) и системы предотвращения вторжений (IPS – Intrusion Prevention System) – основа защиты компьютеров корпоративной сети от несанкционированного доступа.
Система обнаружения вторжений - это программный или аппаратный комплекс для обнаружения неавторизованного доступа к рабочей станции или компьютерную сеть. В профессиональной среде распространена аббревиатура IDS (от англ. Intrusion Detection System – система обнаружения вторжений). IDS-системы позволяют обнаружить такие виды попыток неавторизованного доступа, как сетевые атаки на уязвимые сервисы и системы учёта/контроля пользователей, доступ к файлам локального компьютера или сети, а также активность вредоносного ПО (вирусов, троянов, червей).
Системы обнаружения вторжений обычно разделяют на две основные категории:
- Сетевые системы обнаружения вторжений (NIDS, от англ. Network intrusion detection system) – анализируют сетевой трафик по данным сенсоров, расположенных в ключевых узлах сети.
- Системы обнаружения вторжений на уровне хоста (HIDS, от англ. Host-based intrusion detection system) – обнаруживают вторжения посредством специальной службы, которая анализирует системные запросы, логи активности приложений, изменения файловой системы и другие процессы, происходящие на уровне хоста.
Существует также классификация систем обнаружения вторжений по алгоритмам анализа, который может быть основан на базе данных сигнатур либо использовать эвристический подход по результатам наблюдения за работой системы в нормальном («здоровом») режиме.
|
В чистом виде, системы обнаружения вторжений являются пассивным средством защиты. Инциденты информационной безопасности фиксируются и передаются в виде отчёта пользователю ПК или администратору сети. Логи о произошедших событиях записываются в специальный раздел IDS-приложения и дублируются на панель управления администратора. Сигналы об угрозах безопасности данных не имеют дальнейшей обработки в таких системах. Для непосредственной защиты данных и борьбы с нарушениями информационной безопасности используют активные средства защиты, такие как системы предотвращения вторжений.
|
Версия для печати
|