IDS (ang. Intrusion Detection System)- systemy wykrywania intruzów. Jest to narzędzie niezbędne w każdym poważnym i dokładnym planie zabezpieczenia komputerów.

Działa jako aplikacja, która odczytuje pakiety do analizy poprzez protokół TCP/IP.

Nowszymi odmianami IDS są:

• IPS (ang. Intrusion Prevention System)- oprócz wykrywania włamań, pełni funkcję blokowania ataków w czasie rzeczywistym. Pierwszym ruchem zmierzającym do rozszerzenia możliwości reakcji standardowego systemu IDS było pojawienie się technologii przerywania połączeń. Współczesne IDS-y mogą, w przypadku wykrycia podejrzanego połączenia TCP, przerwać to połączenie przez podszycie się pod stronę atakującą i wysłanie pakietu TCP z flagą RST. Pakiet z taką flagą oznacza zakończenie połączenia. Tak więc atakowany serwer zakończy połączenie i atak nie będzie mógł dojść do skutku. Technika ta jest skuteczna przy atakach angażujących całą sesję TCP. Nie zadziała np. dla ataków składających się z jednego pakietu i ataków przenoszonych przez inne protokoły niż TCP.
• IDS-Inline- posiada dwie karty- zewnętrzną i wewnętrzną. Cały monitorowany ruch sieciowy przechodzi przez urządzenie. Przypomina to budowę firewalla, jednak w środku działa silnik IDS, który wykrywa ataki i umie je blokować. W sumie urządzenie pełni podobne funkcje jak firewall, jednak działa w inny sposób. Istotą działania IDS jest wykrywanie prób ataku, w związku z tym IDS-Inline, chociaż jest umieszczony w tym samym miejscu co firewall, to działa w ten sposób, że przepuszcza cały ruch z wyjątkiem tego, co uzna za próbę ataku.
  

  IDS Inline

Cele stosowania IDS-ów:

• wykrywanie ataków,
• zapobieganie atakom,
• gromadzenie dowodów,
• monitorowanie strategii.

Rodzaje IDS-ów

Serwerowy (ang. SIDS)- jest zainstalowany na wybranym serwerze i jego zadaniem jest identyfikowanie ataków na ten konkretny serwer.

SIDS jest to proces systemowy, który przegląda dzienniki rejestrów w poszukiwaniu wpisów odpowiadających wcześniej ustalonym regułom (sygnaturom ataków). Dodatkowo sprawdza on połączenie z jądrem systemu operacyjnego. Jeżeli podczas wykonywania tych operacji odnajdzie element pasujący do wzorca, to uruchomi alarm. Serwerowy IDS ma również możliwość przeglądania plików w systemie, na okoliczność ich modyfikacji. Przechowuje on obliczone sumy kontrolne plików i porównuje okresowo z bieżącymi sumami kontrolnymi. Jeżeli sumy nie pasują do siebie, SIDS powiadomi o takiej sytuacji.

Sieciowy (ang. NIDS)- znajduje się na dedykowanym urządzeniu i obserwuje cały ruch w swojej sieci. Identyfikuje wszystkie ataki skierowane przeciwko elementom. NIDS funkcjonuje w dedykowanym systemie. Karta sieciowa takiego systemu działa w trybie promiscuous co oznacza, że odczytuje ona cały ruch sieci (nie tylko ten skierowany do tego systemu) i przesyła go do oprogramowania NIDS (ten typ pracy karty sieciowej jest również wykorzystywany przez oprogramowanie typu sniffer). Następnie NIDS analizuje ruch i w przypadku zgodności ze wzorcem uruchamia atak. Efektywność NIDS zależy od stosowanych metod i algorytmów rozpoznawania ataków, a także aktualności bazy definicji ataków. NIDS może przeoczyć atak, jeżeli w sieci istnieją alternatywne trasy przesyłania pakietów. NIDS nie potrafi sprawdzić, czy atak zakończył się sukcesem. Sieci przyłączane wymagają specjalnej konfiguracji, tak aby NIDS mógł kontrolować cały ruch. NIDS nie jest w stanie także analizować transmisji.

Wady IDS-ów

• nie jest w stanie działać skutecznie w sieciach o wysokiej przepustowości i natężeniu ruchu,
• gubi pakiety,
• niedostateczna wykrywalność,
• duża liczba fałszywych alarmów.