IDS (Intrusion Detection System) – це система виявлення вторгнень, яка аналізує мережевий або системний трафік з метою виявлення підозрілої активності, атак або порушень політик безпеки. | |
Основні типи IDS | • NIDS (Network-based IDS) – мережеві IDS, що контролюють весь трафік у мережі. • HIDS (Host-based IDS) – IDS, що працює на окремих пристроях або серверах та аналізує їхні журнали подій. |
Як працює IDS? | • Моніторить трафік або події (пакети, мережеві з’єднання). • Порівнює з відомими шаблонами атак або виявляє аномальну поведінку. • Попереджає адміністратора у разі виявлення підозрілої активності. |
Методи виявлення загроз в IDS | • Сигнатурний аналіз (Signature-based) – порівнює трафік із базою відомих атак. • Аномальний аналіз (Anomaly-based) – шукає відхилення від нормальної поведінки. • Гібридний підхід – поєднує сигнатурний та аномальний. |
IPS
IPS (Intrusion Prevention System) – це мережевий або хостовий захисний механізм, який виявляє та блокує підозрілу активність у реальному часі. IPS є активним рішенням, яке не тільки аналізує трафік, а й автоматично запобігає атакам. | |
Основні типи IPS | • NIPS (Network-based IPS) – працює в мережі та контролює весь вхідний і вихідний трафік. • HIPS (Host-based IPS) – встановлюється на пристроях (сервери, комп’ютери) та захищає їх від загроз. |
Як працює IPS? | • Моніторить весь трафік у реальному часі. • Виявляє загрози за допомогою сигнатурного або поведінкового аналізу. • Автоматично блокує або змінює трафік, якщо виявлено атаку. • Генерує звіти та сповіщає адміністраторів про підозрілу активність. |
Методи виявлення загроз в IPS | • Сигнатурний аналіз (Signature-based) – порівняння з базою відомих атак. • Аномальний аналіз (Anomaly-based) – виявлення незвичної активності, що відхиляється від нормальної поведінки. • Гібридний аналіз – поєднання сигнатурного та анамального підходів для більш точного виявлення загроз. |
IDS vs IPS
Функція | IDS (Intrusion Detection System) | IPS (Intrusion Prevention System) |
Контроль трафіку | Моніторить та аналізує | Моніторить, аналізує та блокує |
Реакція | Сповіщає про загрози | Автоматично блокує загрози |
Вплив на трафік | Пасивний (не впливає на роботу) | Активний (може блокувати пакети) |
IDS = Спостереження та попередження
IPS = Моніторинг + Автоматичне блокування атак
Snort
Snort – це потужна система виявлення та запобігання вторгненням (IDS/IPS), яка аналізує мережевий трафік і виявляє загрози за допомогою сигнатурного аналізу. Його розробила компанія Cisco, і він є одним із найпопулярніших відкритих рішень у сфері кібербезпеки. | |
Основні можливості | • Моніторинг мережевого трафіку – аналізує всі вхідні та вихідні пакети. • Виявлення атак – працює на основі сигнатур (бази відомих атак). • Запобігання вторгненням (IPS) – може блокувати підозрілий трафік у режимі IPS. • Фільтрація пакетів – дозволяє налаштовувати власні правила блокування трафіку. • Легко інтегрується з іншими системами безпеки (наприклад, SIEM). |
Як працює Snort? | • Захоплює та аналізує мережеві пакети. • Порівнює їх із базою сигнатур атак. • Виявляє аномалії або відомі загрози. • Повідомляє адміністратора або блокує підозрілий трафік (режим IPS). |
Режими роботи | • Sniffer Mode – просто відображає весь трафік у реальному часі. • Packet Logger Mode – записує весь трафік для подальшого аналізу. • Network Intrusion Detection System (NIDS) Mode – виявляє та аналізує загрози в мережі. • Intrusion Prevention System (IPS) Mode – блокує підозрілий трафік за допомогою iptables або PF |
Suricata
Suricata – це високопродуктивна система виявлення (IDS), запобігання вторгненням (IPS) та моніторингу безпеки мережі (NSM). Вона є швидшою альтернативою Snort і підтримує багатопотокову обробку трафіку, що робить її ефективною навіть для великих мереж. | |
Основні можливості | • Багатопотокова обробка – використовує всі ядра CPU для швидшої роботи. • Підтримка IDS, IPS та NSM – можна використовувати в різних сценаріях. • Аналіз рівня застосунків – працює з HTTP, TLS, FTP, SMTP, DNS та іншими протоколами. • Вбудована підтримка PCAP та JSON – зручний процес логування трафіку. • Сумісність із Snort-правилами – можна використовувати вже наявні бази сигнатур. |
Як працює Suricata? | • Аналізує трафік у реальному часі та порівнює його з відомими загрозами. • Розпізнає атаки за допомогою сигнатурного та поведінкового аналізу. • Логує події або блокує небезпечний трафік у режимі IPS. • Декодує мережеві протоколи для глибшого аналізу атак. |
OSSEC
OSSEC – це відома HIDS-система (Host-based Intrusion Detection System) з відкритим кодом, яка аналізує логи, зміни файлів, поведінку системи та виявляє загрози. Вона використовується для моніторингу серверів, робочих станцій та хмарних середовищ. | |
Основні можливості | • Моніторинг логів у реальному часі – аналізує логи з системи, файрволів, веб-серверів тощо. • Виявлення змін у файлах (FIM – File Integrity Monitoring) – контролює зміни критично важливих файлів. • Аналіз rootkit-атак – знаходить потенційні руткіти та підозрілі процеси. • Виявлення аномальної активності – попереджає про можливі загрози на основі поведінкового аналізу. • Автоматичне реагування – може виконувати дії у відповідь (наприклад, блокування IP-адреси). • Підтримка централізованого моніторингу – можна керувати всіма агентами з одного місця. |
В цьому відео поговоримо про:
00:00 IDS
01:16 IPS
02:50 IDS vs IPS
03:45 Snort
05:58 Suricata
07:57 OSSEC