Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
A B C D E F G H I J K L Ł M N O P R S T U V W Z INNE

IDS [Intrusion Detection System]

Wykrywanie włamań ma na celu uniemożliwienie ataku na system komputerowy poprzez analizowanie ruchu do i w sieci.

Początkowo wykrywanie włamań ograniczało się do zbierania informacji: zadaniem administratora IT było ocenienie danych i podjęcie działań zaradczych w celu zabezpieczenia systemu. Obecnie aplikacje IDS często zapewniają automatyczną reakcję na ataki w oparciu o zestaw predefiniowanych reguł. Mowa tutaj o systemach wykrywania włamań, które można traktować jako rozwinięcie analizy behawioralnej.

Systemy IDS (oraz IPS) dzielą się na dwie kategorie. Systemy w trybie "host-based" przeznaczone są do ochrony pojedynczych komputerów, a wykrywanie złośliwego kodu opiera się zazwyczaj na analizie behawioralnej. W tym celu monitorowane są odwołania do systemu i porównywane z politykami opartymi na "normalnym" zachowaniu. Polityki te mogą być dość szczegółowe, ponieważ zachowanie może odnosić się do określonych aplikacji. W ten sposób takie działania jak otwieranie portów w systemie, skanowanie portu, próby zwiększenia przywilejów w systemie oraz wstrzykiwanie kodu do bieżących procesów mogą zostać zablokowane jako zachowanie "anormalne". Niektóre systemy uzupełniają analizę behawioralną wykorzystywaniem sygnatur znanych niebezpiecznych kodów.

Systemy w trybie "network-based" rozmieszczone są wewnątrz sieci i mają na celu ochronę każdego segmentu sieci. Filtrują pakiety pod kątem "złośliwego kodu", poszukując "anormalnego" wykorzystania szerokości pasma lub niestandardowego ruchu (jak uszkodzone pakiety). Systemy w trybie "network-based" są szczególnie użyteczne w wykrywaniu ataków DoS lub ruchu generowanego przez robaki sieciowe.