Intrusion Detection System (IDS) — kompüter sistemlərinə, şəbəkələrə və ya informasiya infrastrukturuna edilən icazəsiz giriş cəhdlərini, hücumları və şübhəli fəaliyyətləri aşkar edən və xəbərdarlıq edən xüsusi təhlükəsizlik sistemidir.

IDS-in əsas məqsədi sistem daxilində və ya şəbəkədə anormal və təhlükəli davranışları izləmək, qeyd etmək və sistem administratorlarını bu barədə vaxtında məlumatlandırmaqdır. IDS-lər təkcə hücumları müəyyənləşdirmir, həm də potensial təhlükələri əvvəlcədən müəyyən etməyə kömək edir.

IDS necə işləyir?

IDS sistemləri, real vaxt rejimində və ya arxivləşdirilmiş log fayllar üzərindən sistem və ya şəbəkə fəaliyyətini analiz edir. Bu fəaliyyətlər müəyyən təhlükəsizlik siyasətləri və ya hücum nümunələri (signaturalar) ilə müqayisə edilir. Aşağıdakı addımlar üzrə işləyir:

1) Məlumat toplanır:

Şəbəkədən və ya sistemdən gələn trafik, əməliyyatlar və hadisələr toplanır.

2) Analiz edilir:

Bu məlumatlar məlum hücum nümunələri və davranış modelləri ilə müqayisə olunur.

3) Aşkarlama edilir:

Əgər sistem qeyri-adi və ya potensial təhlükəli fəaliyyət aşkar edərsə, onu qeyd edir.

4) Xəbərdarlıq göndərilir:

Sistem administratoruna və ya təhlükəsizlik komandasına bildiriş (alert) göndərilir.

IDS-in növləri

1. Network-based IDS (NIDS)

Şəbəkə səviyyəsində fəaliyyət göstərir. Şəbəkə trafikini izləyərək potensial hücumları müəyyən edir. Router, switch və ya şəbəkə divarına yerləşdirilir.

2. Host-based IDS (HIDS)

Konkret bir kompüter və ya server üzərində fəaliyyət göstərir. Fayl dəyişiklikləri, sistem loqları, prosesslər və istifadəçi fəaliyyətlərini izləyir.

Aşkarlama üsulları

IDS-lər iki əsas aşkarlama üsulundan istifadə edir:

✅ Signature-based Detection (İmzaya əsaslanan aşkarlama):

Əvvəldən məlum olan hücumların nümunələrinə əsaslanır. Antiviruslar kimi, konkret hücum "imzasını" tanıyaraq aşkarlayır.

✅ Anomaly-based Detection (Anomal davranış aşkarlama):

Normal fəaliyyət nümunələrini öyrənərək onlardan kənara çıxan davranışları qeydə alır. Bu üsul yeni və tanınmayan hücumları aşkarlamaq üçün daha effektivdir.

IDS və IPS arasındakı fərq

• IDS (Intrusion Detection System) — yalnız aşkarlayır və xəbərdarlıq edir, yəni passiv sistemdir.
• IPS (Intrusion Prevention System) — hücumu aşkarlamaqla yanaşı, onu avtomatik şəkildə bloklayır və qarşısını alır, yəni aktiv müdaxilə edir.

IDS sisteminin üstünlükləri

🔹 Real vaxtda müşahidə və nəzarət imkanı

🔹 Hücumların və zəifliklərin aşkarlanması

🔹 Kibertəhlükəsizlik komandasına operativ xəbərdarlıq göndərilməsi

🔹 Gələcək hücumların qarşısının alınması üçün analiz və hesabatlar

🔹 Komprometasiya edilmiş sistemlərin aşkarlanması

Çətinliklər və məhdudiyyətlər

⚠️ Yalnız xəbərdarlıq verir, müdaxilə etmir (IPS olmadığı halda)

⚠️ Çoxlu sayda yalnış pozitiv nəticə verə bilər

⚠️ Kompleks konfiqurasiya və davamlı təhlil tələb edir

Nəticə

Intrusion Detection System (IDS) — müasir kibertəhlükəsizlik sistemlərinin əsas komponentlərindən biridir. Şəbəkələr və sistemlər üçün həyati əhəmiyyət daşıyan monitorinq və xəbərdarlıq vasitəsidir. Bu sistemlər, hücumların erkən mərhələdə aşkarlanması, təhlil edilməsi və zamanında cavab verilməsi üçün böyük təşkilatlar, dövlət qurumları və IT infrastruktura malik şirkətlər üçün vazkeçilməzdir.