Система обнаружения вторжений (IDS)
Что такое Система обнаружения вторжений (IDS)?
Система обнаружения вторжений (IDS)Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Система обнаружения вторжений (IDS) анализирует трафик, журналы или системные вызовы и формирует оповещения, когда обнаруживает активность, совпадающую с известными сигнатурами, статистическими аномалиями или нарушениями политики. IDS бывают сетевыми (NIDS), подключаемыми к SPAN/TAP-портам, и хостовыми (HIDS), устанавливаемыми на конечные точки; оповещения обычно отправляются в SIEM для корреляции, триажа и реагирования. Поскольку IDS только обнаруживает и ничего не блокирует, её можно размещать без риска нарушить трафик, что удобно в высоконагруженных и чувствительных средах. Эффективность требует тщательной настройки, актуальных сигнатур, обогащения threat intelligence и зрелого процесса работы аналитиков.
● Примеры
- 01
Suricata, подключённая к SPAN-порту, генерирует тревогу на шаблон эксплуатации Log4Shell.
- 02
OSSEC на Linux-хосте фиксирует изменения /etc/passwd и отправляет оповещение в SIEM.
● Частые вопросы
Что такое Система обнаружения вторжений (IDS)?
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Система обнаружения вторжений (IDS)?
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Как защититься от Система обнаружения вторжений (IDS)?
Защита от Система обнаружения вторжений (IDS) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Система обнаружения вторжений (IDS)?
Распространённые альтернативные названия: IDS.