Сетевая безопасность
Система обнаружения вторжений (IDS)
Также известно как: IDS
Определение
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Примеры
- Suricata, подключённая к SPAN-порту, генерирует тревогу на шаблон эксплуатации Log4Shell.
- OSSEC на Linux-хосте фиксирует изменения /etc/passwd и отправляет оповещение в SIEM.
Связанные термины
Система предотвращения вторжений (IPS)
Inline-средство безопасности, которое обнаруживает вредоносный трафик и активно блокирует, разрывает или очищает его в реальном времени.
Хостовая IDS (HIDS)
Агент обнаружения вторжений, установленный на сервере или конечной точке, который следит за локальными файлами, процессами, журналами и системными вызовами.
Сетевая IDS (NIDS)
Сенсор обнаружения вторжений, который анализирует трафик, захваченный с сетевого сегмента, для выявления вредоносных шаблонов и нарушений политики.
Сигнатурное обнаружение
Метод обнаружения, при котором наблюдаемый трафик, файлы или поведение сопоставляются с базой известных вредоносных шаблонов (сигнатур) для выявления вредоносной активности.
Обнаружение по аномалиям
Подход к обнаружению, при котором строится базовая линия нормальной активности, а значимые отклонения от неё помечаются как потенциально вредоносные.
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.