Ett intrångsdetekteringssystem (IDS) är en teknik för nätverkssäkerhet som ursprungligen byggdes för att upptäcka sårbarhetsutnyttjande mot ett målprogram eller en dator. Intrusion Prevention Systems (IPS) utökade IDS-lösningarna genom att lägga till förmågan att blockera hot utöver att upptäcka dem och har blivit det dominerande alternativet för IDS/IPS-teknik. Den här artikeln kommer att behandla den konfiguration och de funktioner som definierar IDS-användningen.
En IDS behöver bara upptäcka hot och är därför placerad utanför bandet i nätverksinfrastrukturen, vilket innebär att den inte befinner sig i den verkliga realtidskommunikationen mellan avsändare och mottagare av information. I stället utnyttjar IDS-lösningar ofta en TAP- eller SPAN-port för att analysera en kopia av inline-trafikflödet (och därmed se till att IDS inte påverkar inline-nätverkets prestanda).
IDS utvecklades ursprungligen på detta sätt eftersom det analysdjup som krävdes för intrångsdetektering vid den tiden inte kunde utföras med en hastighet som kunde hålla jämna steg med komponenter på nätverksinfrastrukturens direkta kommunikationsväg.
Som förklarat är IDS också en enhet som endast lyssnar. IDS övervakar trafiken och rapporterar sina resultat till en administratör, men kan inte automatiskt vidta åtgärder för att förhindra att en upptäckt exploatering tar över systemet. Angripare kan utnyttja sårbarheter mycket snabbt när de väl kommer in i nätverket, vilket gör IDS:en till en olämplig enhet för förebyggande av spridning.
I följande tabell sammanfattas de tekniska skillnaderna mellan IPS och IDS:
| Intrusion Prevention System | IDS Deployment | |
|---|---|---|
| Placering i nätverksinfrastrukturen | En del av den direkta kommunikationslinjen (inline) | Outeride direct line of communication (out-of-band) |
| Systemtyp | Aktivt (övervakar & försvarar sig automatiskt) och/eller passivt | Passivt (övervakar & meddelar) |
| Detekteringsmekanismer | 1. Statistisk anomalibaserad detektering 2. Signaturdetektering: – Signaturer för exploatering – Signaturer för sårbarhet |
1. Signaturdetektering: – Signaturer för exploatering |
.