Системы обнаружения вторжения — это категория информационных средств, разработанных для наблюдения за «подозрительными» событиями, возникающими в системах или сетях. При появлении «подозрительного» события IDS выполняет ряд действий, среди которых: протоколирование, сигнализация, блокирование трафика или останов процесса, оперативная настройка правил экранирования и т. п. Системы IDS, которые лишь протоколируют события или сигнализируют об их наступлении, называются Пассивными системами обнаружения вторжения. Такие инструменты используются прежде всего для сбора информации об атаке. Противодействий вторжению нет, и хакер может беспрепятственно продолжать атаку. Конечно, пассивное слежение — не лучшее средство борьбы. Но в любом случае полезно знать, подвержены ли ваши системы компрометации. К слову, за последний год в США каждые 11 минут совершалось ограбление дома или офиса. Компьютерные атаки выполнялись чаще одного раза в секунду. Системы IDS, способные противодействовать атаке, называются Активными системами обнаружения вторжения. Реакция таких систем не ограничивается протоколированием. IDS разрывает «подозрительное» соединение и инструктирует экран, устанавливая запрещающее правило, которое ограничит воздействие со стороны потенциального злоумышленника. Некоторые IDS достаточно сложны в управлении. Кроме того, не всегда представляется возможным расширить встроенный набор «тревожных» шаблонов. Подавляющее большинство систем IDS работают методом сравнения трафика с базой данных «тревожных» шаблонов, определяющих зловредное воздействие на систему. Таким образом, при выборе IDS прежде всего необходимо выяснить, как та или иная система управляет своей базой данных и насколько просто добавить или изменить шаблон. Иногда достаточно отредактировать файл. В ряде случаев нужно воспользоваться специальной программой или специальным языком, описывающим шаблон. Хуже всего, если система требует шаблонов, которые поставляются производителем IDS. Как и при покупке любого другого товара, если выбрали не совсем то, что надо, то пеняйте сами на себя.
