Wiki: IDS - Intruder Detection System, IPS - Intrusion prevention system
IDS - Система обнаружения вторжений - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа вкомпьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей) ....
Хостовая система обнаружения вторжений - Хостовая система обнаружения вторжений (англ. Host-based intrusion detection system, HIDS) — это система обнаружения вторжений, которая ведет наблюдение и анализ событий, происходящих внутри системы (в отличие от сетевой СОВ, которая отслеживает в первую очередь сетевой трафик)
Сетевая система обнаружения вторжений - Сетевая система обнаружения вторжений (англ. network intrusion detection system, NIDS) — система обнаружения вторжений, которая отслеживает такие виды вредоносной деятельности, как DoS атаки, сканирование портов или даже попытки проникновения в сеть.
Сетевая СОВ просматривает все входящие пакеты на наличие в них подозрительных признаков. Если, например, обнаружено большое количество запросов на TCPсоединение с широким диапазоном различных портов, то, вероятней всего, проводится сканирование портов. Также подобная система чаще всего отслеживает входящийшелкод схожим образом с обычной СОВ.
Сетевая СОВ не ограничивается отслеживанием только входящего сетевого трафика. Часто важную информацию о происходящем вторжении можно получить также из исходящего или локального трафика. Действие некоторых атак может разворачиваться внутри наблюдаемой сети или сегмента сети, и никак не отражаться на входящемтрафике.
Зачастую, сетевая СОВ хорошо взаимодействует с другими защитными системами. СОВ могут на основе результатов своей работы обновлять чёрные спискимежсетевых экранов, занося туда IP адреса машин, заподозренных в осуществлении атаки злоумышленников.
IPS - Система предотвращения вторжений - Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.
Programs we try to use: