IPS – wstęp do artykułu
IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System – systemy wykrywania i zapobiegania włamaniom) – urządzenia i/lub oprogramowanie sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.
Zasada działania
Systemy wykrywania włamań analizują ruch w sieci wykorzytując:
Analizę heurystyczną – polega ona na defragmentacji oraz łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing. W większości systemów IDS analiza heurystyczna realizowana jest równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.
Analizę sygnaturową – polega ona na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, która musi być systematycznie aktualizowana wraz z pojawianiem się nowych typów ataków.