IDS (Intrusion Detection System) и IPS (Intrusion Prevention System) — это системы обнаружения и предотвращения вторжений, предназначенные для выявления и нейтрализации вредоносной активности в сетевой инфраструктуре или на отдельных узлах.

IDS осуществляет мониторинг трафика или событий в системе с целью выявления подозрительной активности и генерации уведомлений.

IPS, помимо обнаружения, способен автоматически блокировать выявленные угрозы в режиме реального времени.

Основные особенности IDS:

• Пассивный мониторинг: Анализирует сетевой трафик или события, не вмешиваясь напрямую в передачу данных.
• Обнаружение атак: Выявляет сигнатурные, аномальные и поведенческие угрозы.
• Генерация оповещений: Уведомляет администратора о потенциальной атаке.
• Анализ журналов: Сохраняет события для последующего расследования инцидентов.

Основные особенности IPS:

• Активная защита: Встраивается в поток трафика (inline) и принимает решения о блокировке.
• Автоматическое предотвращение атак: Может разрывать соединения, блокировать IP-адреса, фильтровать вредоносные пакеты.
• Политики безопасности: Работает на основе заданных правил и сигнатур.
• Защита в реальном времени: Минимизирует ущерб до того, как атака достигнет цели.

Типы IDS/IPS:

• NIDS (Network-based): Анализирует сетевой трафик.
• HIDS (Host-based): Контролирует активность на конкретном хосте.
• Signature-based detection: Поиск известных шаблонов атак.
• Anomaly-based detection: Выявление отклонений от нормального поведения системы.

Когда используются IDS и IPS?

• Защита корпоративных сетей
• Обнаружение попыток сканирования портов
• Выявление атак типа DoS/DDoS
• Контроль подозрительной активности внутри сети
• Соответствие требованиям стандартов безопасности (ISO 27001, PCI DSS и др.)

Преимущества использования IDS/IPS:

• Повышение уровня сетевой безопасности
• Раннее выявление угроз
• Снижение риска компрометации инфраструктуры
• Централизованный контроль и аудит событий