Детектив и охранник в одном
Файрвол — это охранник у входа: проверяет документы и блокирует нежелательных гостей. Но что если враг уже внутри? Или его трафик выглядит легитимным? Здесь на помощь приходят IDS и IPS.
IDS (Intrusion Detection System) — система обнаружения вторжений. Наблюдает за трафиком, замечает подозрительное и сигнализирует. Сама не блокирует — только предупреждает.
IPS (Intrusion Prevention System) — система предотвращения вторжений. То же самое, но умеет автоматически блокировать атаку в реальном времени.
Методы обнаружения
Сигнатурный анализ — сравнение трафика с базой известных атак (сигнатур). Быстро и точно для известных угроз. Минус: не обнаруживает новые, неизвестные атаки («нулевой день»).
Поведенческий анализ (аномалии) — система изучает «нормальное» поведение сети и реагирует на отклонения. Может обнаружить новые атаки. Минус: много ложных срабатываний (false positive).
NIDS и HIDS
NIDS (Network IDS) — анализирует трафик на уровне сети. Размещается в ключевых точках: на периметре, между сегментами. Видит весь поток данных.
HIDS (Host IDS) — устанавливается на конечный хост (сервер, рабочую станцию). Мониторит системные файлы, журналы, процессы. Замечает изменения на самом устройстве.
Место в инфраструктуре
IDS/IPS часто интегрируется с SIEM (Security Information and Event Management) — системой агрегации и анализа событий безопасности. Все предупреждения собираются в одном месте, аналитик видит общую картину. Современные NGFW часто включают IPS как встроенный модуль.