Сетевое обнаружение в корпоративных системах работает на основе систем обнаружения вторжений (IDS). 14 Они постоянно наблюдают за корпоративной сетью, выявляя возможные инциденты и регистрируя информацию о них. 4

Система обнаружения вторжений на основе хоста (HIDS) устанавливается на рабочей станции или сервере. 1 Она обеспечивает защиту отдельного хоста, обнаруживая потенциальные атаки и защищая важные файлы ОС. 1 HIDS работает в пассивном режиме — она только идентифицирует и предупреждает об угрозе. 1

Система обнаружения вторжений на основе сети (NIDS) отслеживает активность в сети. 1 Датчики NIDS, установленные на сетевые устройства — маршрутизаторы и брандмауэры, собирают информацию и отправляют отчёты на центральный сервер мониторинга, на котором размещена консоль NIDS. 1

IDS-системы используют два основных метода обнаружения: 1

1. Обнаружение на основе сигнатур. 1 IDS-системы на основе сигнатур используют базу данных известных уязвимостей или известных шаблонов атак. 1 Например, если злоумышленник запустил атаку SYN-флуда на сервере путём ввода IP-адреса атакуемой системы, система обнаружения вторжений обнаружит этот шаблон атаки. 1
2. Обнаружение на основе аномалий. 1 IDS на основе аномалий определяет нормальную работу системы, создавая базовый уровень производительности в нормальных условиях эксплуатации. 1 Затем обеспечивает непрерывный мониторинг, постоянно сравнивая текущее поведение сети с базовым. 1 Когда обнаруживается аномальная активность, которая отличается от нормального поведения, IDS-система выдаёт предупреждение, указывающее на потенциальную атаку. 1

После обнаружения атаки IDS уведомляет о ней специалиста по безопасности через управляющую консоль, SMS-сообщение или электронную почту. 5