В системы обнаружения вторжений (ИД)- это устройство или программное приложение , которое отслеживает сетевой или систем для вредоносных действий или нарушений политики. При обнаружении активности или нарушение обычно сообщается либо администратору или собираются централизованно с помощью управления информацией и событиями безопасности (siem систему) системы. СИЕМ система объединяет выходы из различных источников, и использует сигнал фильтруя методы, чтобы отличить вредоносные действия от ложных срабатываний.
Существует широкий спектр идентификаторов, отличающихся от антивирусного программного обеспечения для иерархических систем, отслеживающих трафик всей сети. наиболее распространенными классификациями являются сетевые системы обнаружения вторжений (НДИ) и хост-системы обнаружения вторжений (Делятся).
Систему, которая контролирует важные системные файлы-это пример делятся, а система, которая анализирует входящий сетевой трафик является примером НДИ. Можно также классифицировать идентификаторы обнаружением подход: наиболее известные варианты сигнатурного детектирования (признавая плохие модели, такие как вредоносные программы) и аномалии-обнаружение (выявление отклонений от модели "хороший" трафик, который часто полагается на машинное обучение). Некоторые идентификаторы имеют возможность реагировать на обнаруженные вторжения. Систем с возможностями ответ обычно называютсистема предотвращения вторжений.
Хотя они оба относятся к сетевой безопасности, идентификаторы отличается от брандмауэра в том, что брандмауэр выглядит внешне для вторжения для того, чтобы остановить их от происходящего. Межсетевые экраны ограничивают доступ между сетями, чтобы предотвратить вторжение и не сигнал атаки изнутри сети. Сов оценивает предполагаемого заражения как только это произошло и сигналы тревоги. В ИДЕНТИФИКАТОРАХ также часы для атак, исходящих изнутри системы. Это традиционно достигается путем изучения сетевых коммуникаций, выявления эвристических методов и моделей (часто называемый подписями) общих компьютерных атак и принятия мер для предупреждения оператора.Система, которая прерывает связи называется система предотвращения вторжений, и другой формеприкладного уровня брандмауэра.
