Обнаружение вторжений.

Обнаружение вторжений связано с обнаружением несанкционированных попыток доступа к компьютерной сети или физической компьютерной системе. Его целью является обнаружение любых угроз, которые могут позволить доступ к несанкционированной информации, негативно повлиять на целостность данных или привести к потере доступа в сети. Обычно это осуществляется с помощью системы обнаружения вторжений (IDS), которая обнаруживает, записывает и регистрирует различную информацию о других, подключающихся к сети или обращающихся к физическому хосту. Эти системы могут варьироваться от программных решений, которые просто регистрируют информацию о трафике, до физических систем, которые включают охранников, камеры и датчики движения.
Существует три основных типа обнаружения вторжений, включая сетевые, хостовые и физические методы. Сетевые методы пытаются помечать подозрительный сетевой трафик и обычно используют программы, которые записывают трафик и пакеты, проходящие через сеть. Методы на основе хоста ищут возможные вторжения в физическую компьютерную систему и проверяют целостность файлов, идентифицируют руткиты, отслеживают локальные политики безопасности и анализируют журналы. Физические методы также имеют дело с выявлением проблем безопасности на физических устройствах и используют физические средства управления, такие как люди, камеры безопасности, брандмауэры и датчики движения. Во многих сферах бизнеса  с конфиденциальными данными и критически важными системами, для обеспечения максимальной безопасности, желательна комбинация этих методов.

Системы обнаружения вторжений обычно не предотвращают вторжения; вместо этого они просто регистрируют события, которые происходят, чтобы администраторы могли собирать и анализировать информацию. Хотя это особенно верно для методов обнаружения вторжений на основе сети и хоста, это может быть не так для некоторых физических методов, таких как брандмауэры и персонал службы безопасности. Брандмауэры часто предоставляют возможность блокировать подозрительный трафик и могут узнать, что является вторжением и разрешён доступ или нет. Сотрудники службы безопасности также могут предотвратить физическое проникновение людей в компанию или центр обработки данных, а отслеживаемые ловушки и системы контроля доступа – это другие физические методы, которые могут предотвратить проникновение кого-либо.

Ограничения систем обнаружения вторжений означают, что многие организации для принятия мер и при возникновении подозрительных действий, также используют систему предотвращения вторжений (IPS). Многие из этих систем включают функции системы обнаружения вторжений и предоставляют более всестороннюю систему безопасности, которая полезна, когда критически важно реагировать на нарушения безопасности. Когда IPS обнаруживает подозрительные нарушения трафика или политики, она выполняет действие, настроенное в его политике. Сотрудники информационной безопасности или системные администраторы обычно настраивают политику, которую IPS использует для ответа на каждое событие.