Tunkeutumisen havaitsemisjärjestelmä (Intrusion Detection System, IDS) on verkkoturvateknologia, joka on alun perin kehitetty havaitsemaan haavoittuvuuden hyväksikäyttöä kohdesovellusta tai -tietokonetta vastaan. Tunkeutumisenestojärjestelmät (Intrusion Prevention Systems, IPS) laajensivat IDS-ratkaisuja lisäämällä niihin mahdollisuuden estää uhkia niiden havaitsemisen lisäksi, ja niistä on tullut IDS/IPS-tekniikoiden hallitseva käyttöönottovaihtoehto. Tässä artikkelissa käsitellään tarkemmin kokoonpanoa ja toimintoja, jotka määrittelevät IDS-käyttöönoton.
IDS:n tarvitsee vain havaita uhkia, ja siksi se sijoitetaan kaistan ulkopuolella verkkoinfrastruktuuriin, mikä tarkoittaa, että se ei ole todellisessa reaaliaikaisessa tietoliikenneväylässä tiedon lähettäjän ja vastaanottajan välillä. Pikemminkin IDS-ratkaisut hyödyntävät usein TAP- tai SPAN-porttia analysoidakseen kopion verkkoliikennevirrasta (ja varmistaakseen siten, että IDS ei vaikuta verkon sisäiseen suorituskykyyn).
IDS kehitettiin alun perin tällä tavalla, koska tunkeutumisen havaitsemiseen vaadittavaa analyysin syvyyttä ei voitu aikanaan suorittaa nopeudella, joka pysyisi verkkoinfrastruktuurin suoralla tietoliikenneradalla olevien komponenttien vauhdissa.
Kuten selitettiinkin, IDS-ratkaisu kuuntelee myös vain. IDS valvoo liikennettä ja raportoi tuloksensa ylläpitäjälle, mutta se ei voi automaattisesti ryhtyä toimiin estääkseen havaitun hyväksikäyttäjän pääsyn järjestelmän valtaan. Hyökkääjät pystyvät hyödyntämään haavoittuvuuksia hyvin nopeasti, kun ne ovat päässeet verkkoon, minkä vuoksi IDS on riittämätön käyttöönoton estolaite.
Seuraavassa taulukossa esitetään yhteenveto IPS:n ja IDS-käyttöönoton luontaisista teknologisista eroista:
| Intrusion Prevention System | IDS:n käyttöönotto | |
|---|---|---|
| Sijoittelu verkkoinfrastruktuuriin | Osa suorassa tietoliikennelinjassa (inline) | Suoran tietoliikennelinjan ulkopuolella (out-of-band) |
| Järjestelmätyyppi | Aktiivinen (valvonta & puolustaa automaattisesti) ja/tai passiivinen | Passiivinen (valvonta & ilmoittaa) |
| Havaintomekanismit | 1. Tilastolliseen anomaliaan perustuva havaitseminen 2. Allekirjoitusten havaitseminen: – Hyödyntämiseen tähtäävät allekirjoitukset – Haavoittuvuuteen tähtäävät allekirjoitukset |
1. Signature detection: – Exploit-facing signatures |