Открыть сервис

Система обнаружения вторжений

Система обнаружения вторжений (СОВ; англ. Intrusion Detection System, IDS) — это программное или аппаратно-программное средство, предназначенное для автоматизированного выявления фактов несанкционированного доступа, атак или аномальной активности в компьютерных сетях или отдельных узлах. Основная задача СОВ — своевременно обнаружить попытки компрометации информационной системы, зафиксировать инцидент и уведомить администратора безопасности, не препятствуя при этом нормальному функционированию сети.

История

Концепция обнаружения вторжений начала формироваться в начале 1980-х годов. В 1980 году Джеймс Андерсон в докладе для ВВС США ввёл понятие «угрозы безопасности» и предложил классификацию нарушителей. Первая практическая реализация IDS была разработана в 1987 году Дороти Деннинг, которая опубликовала модель системы обнаружения вторжений, основанную на анализе журналов событий (аудите). Эта модель предполагала сбор данных о действиях пользователей и их сопоставление с заранее определёнными шаблонами типичного поведения.

В 1990-е годы появились коммерческие продукты, такие как NetRanger (1997) и Cisco Secure IDS. Параллельно развивались технологии на основе сигнатур (сравнение с шаблонами известных атак) и аномалий (отклонение от нормального поведения). С начала 2000-х годов IDS стали интегрироваться с межсетевыми экранами (системы класса IPS). Современные СОВ используют методы машинного обучения, статистического анализа и поведенческой аналитики.

Классификация

Системы обнаружения вторжений классифицируют по нескольким признакам.

По источнику данных

По методу обнаружения

По реакции

Устройство и компоненты

Типичная архитектура СОВ включает следующие элементы:

  1. Сенсоры (датчики): собирают данные — сетевые пакеты (NIDS) или системные события (HIDS). Размещаются на ключевых участках сети или на защищаемых узлах.
  2. Анализатор (движок): обрабатывает полученные данные, сопоставляя их с сигнатурами, моделями поведения или правилами. Оценивает, является ли событие безопасным или угрозой.
  3. База сигнатур/правил: хранит шаблоны известных атак, векторы аномалий и экспертные правила. Регулярно обновляется поставщиком продукта или администратором.
  4. Модуль оповещения (Alerting): генерирует уведомления при обнаружении вторжения. В простых системах — запись в лог-файл, в продвинутых — интеграция с SIEM-системами, отправка SMS, email.
  5. Консоль управления: интерфейс администратора для настройки правил, просмотра событий, обработки ложных срабатываний и анализа отчётов.

В системах IPS добавляется компонент реагирования — средства для блокировки трафика (например, сброс TCP-пакета с флагом RST или изменение правил файрвола).

Применение

СОВ используются в различных сферах информационной безопасности:

Ограничения и критика

Несмотря на широкое применение, СОВ имеют ряд недостатков:

Примеры продуктов

Интересные факты

Источники

  1. Anderson, J. P. «Computer Security Threat Monitoring and Surveillance» (1980).
  2. Denning, D. E. «An Intrusion-Detection Model» (1987).
  3. Scarfone, K., Mell, P. «Guide to Intrusion Detection and Prevention Systems (IDPS)» — NIST Special Publication 800-94 (2007).
  4. Специализированные материалы ФСТЭК России по аттестации систем обнаружения вторжений (2013–2022).
  5. Snort User Manual, Suricata User Manual (2023).
  6. ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Обнаружение вторжений».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →