IDS [Intrusion Detection System] - Wykrywanie w艂ama艅, IPS [Intrusion Prevention Systems]

Wykrywanie w艂ama艅 ma na celu uniemo偶liwienie ataku na system komputerowy poprzez analizowanie ruchu do i w sieci.

Pocz膮tkowo wykrywanie w艂ama艅 ogranicza艂o si臋 do zbierania informacji: zadaniem administratora IT by艂o ocenienie danych i podj臋cie dzia艂a艅 zaradczych w celu zabezpieczenia systemu. Obecnie aplikacje IDS cz臋sto zapewniaj膮 automatyczn膮 reakcj臋 na ataki w oparciu o zestaw predefiniowanych regu艂. Mowa tutaj o systemach wykrywania w艂ama艅, kt贸re mo偶na traktowa膰 jako rozwini臋cie analizy behawioralnej.

Systemy IDS (oraz IPS) dziel膮 si臋 na dwie kategorie. Systemy w trybie "host-based" przeznaczone s膮 do ochrony pojedynczych komputer贸w, a wykrywanie z艂o艣liwego kodu opiera si臋 zazwyczaj na analizie behawioralnej. W tym celu monitorowane s膮 odwo艂ania do systemu i por贸wnywane z politykami opartymi na "normalnym" zachowaniu. Polityki te mog膮 by膰 do艣膰 szczeg贸艂owe, poniewa偶 zachowanie mo偶e odnosi膰 si臋 do okre艣lonych aplikacji. W ten spos贸b takie dzia艂ania jak otwieranie port贸w w systemie, skanowanie portu, pr贸by zwi臋kszenia przywilej贸w w systemie oraz wstrzykiwanie kodu do bie偶膮cych proces贸w mog膮 zosta膰 zablokowane jako zachowanie "anormalne". Niekt贸re systemy uzupe艂niaj膮 analiz臋 behawioraln膮 wykorzystywaniem sygnatur znanych niebezpiecznych kod贸w.

Systemy w trybie "network-based" rozmieszczone s膮 wewn膮trz sieci i maj膮 na celu ochron臋 ka偶dego segmentu sieci. Filtruj膮 pakiety pod k膮tem "z艂o艣liwego kodu", poszukuj膮c "anormalnego" wykorzystania szeroko艣ci pasma lub niestandardowego ruchu (jak uszkodzone pakiety). Systemy w trybie "network-based" s膮 szczeg贸lnie u偶yteczne w wykrywaniu atak贸w DoS lub ruchu generowanego przez robaki sieciowe.