Система обнаружения вторжений (IDS) в современных файерволах работает путём непрерывного мониторинга сетевого трафика для выявления и блокировки потенциальных угроз. 1

IDS использует два основных метода обнаружения: 24

1. Обнаружение на основании сигнатур. 24 IDS сравнивает проверяемые данные с известными образцами сигнатур атаки и создаёт оповещение безопасности в случае их совпадения. 2 Этот метод позволяет выявлять вторжения, которые основаны на ранее известных способах проникновения. 2
2. Обнаружение на основании аномалий. 24 IDS сравнивает активность в сети или на хосте с моделью корректного, доверенного поведения контролируемых элементов и фиксирует отклонения от неё. 2 Этот метод позволяет выявлять новые угрозы. 2

Некоторые функции IDS:

• Наблюдение за трафиком локальной сети в реальном времени. 3 Собираются и анализируются данные о трафике, что позволяет не только находить угрозы, но и выяснить, откуда они пришли и каким способом. 3
• Журналирование событий. 1 IDS подробно регистрирует все обнаруженные события, что позволяет администраторам проводить анализ инцидентов и выявлять уязвимые места в сети. 1
• Уведомления и оповещения. 1 Администраторы получают уведомления в режиме реального времени о выявленных угрозах, что позволяет им оперативно реагировать. 1

IDS может быть установлена перед файерволом с внутренней стороны сети. 2 В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован файерволом. 2