Sieciowe systemy wykrywania włamań IDS (Intrusion Detection Systems) zaczynają znajdować nową niszę - narzędzi analitycznych, pozwalających na wgląd do sieci i zrozumienie tego, co się w niej dzieje w obszarze bezpieczeństwa. Oferują możliwość śledzenia i wykrywania tego, jak, kiedy igdzie sieć była atakowana.

Sieciowe IDS mogą być dla analityków ochrony tym, czym analizatory protokołów dla zarządców sieci: narzędziami do wglądu w sieć, wspomagającymi rozpoznanie co się w niej dzieje z punktu widzenia bezpieczeństwa.

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł polityki bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związanych z bezpieczeństwem.

Pomyślna implementacja sieciowych IDS zależy od trzech krytycznych czynników:

1. Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podejrzanych zachowań dopóty, dopóki nie zostanie zdefiniowane co jest, a co nie jest dozwolone w sieci.
2. Świadomość powiązania z siecią - produkty IDS nie nadają się do automatycznej klasyfikacji ataków na podstawie systemu, który został zaatakowany. Klasycznym przykładem tego jest atak związany wyłącznie z systemem Windows na uniksowy serwer webowy . Dla sieciowych IDS dane są wtedy użyteczne, jeżeli wiadomo jakie zasoby są w sieci i jak wygląda ruch normalny i poprawny.
3. Architektura IDS - użyteczność IDS zależy od implementowania ich w sposób, który zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest zaprojektowanie lokalizacji sensorów i technologii wykrywającej wg wiedzy o polityce bezpieczeństwa i zasobach sieciowych.

Zobacz także

• Systemy IDS
  • Problem fałszywych alarmów
  • Systemy wykrywania włamań
  • Techniki obronne w IDS
  • Zintegrowana ochrona przed intruzami