Bosh sahifa Wiki IDS

IDS

IDS — tarmoq yoki hostdagi faoliyatni kuzatib, zararli, shubhali yoki policy’ga zid hodisalarni aniqlash va alert yaratishga mo‘ljallangan tizim. To‘liq nomi Intrusion Detection System.

IDS odatda traffic yoki system hodisasini kuzatadi, lekin uni avtomatik bloklash majburiy emas. Bloklashga yo‘naltirilgan tizim IPS deb ataladi.

Network IDS

NIDS tarmoq trafficini kuzatadi.

U quyidagi joylarda ishlashi mumkin:

NIDS packet yoki flow’ni tahlil qilib hujum patternlarini aniqlaydi.

Host IDS

HIDS bitta endpoint yoki server ichidagi faoliyatni kuzatadi.

Manbalar:

HIDS endpoint agentiga tayanishi mumkin.

Signature-based detection

Ma’lum exploit, malware yoki protocol patterni signature orqali aniqlanadi.

Afzalligi:

  • aniq;
  • tez;
  • known threat uchun tushunarli.

Kamchiligi:

  • yangi variantni o‘tkazib yuborishi;
  • obfuscation;
  • encryption;
  • signature yangilanishiga bog‘liqlik.

Anomaly-based detection

Tizim odatiy traffic yoki behavior baseline’ini o‘rganadi.

Normadan chetga chiqish alert beradi.

Misollar:

  • yangi port;
  • trafik hajmi oshishi;
  • noodatiy login vaqti;
  • serverdan ko‘p outbound connection.

Afzalligi — noma’lum hujumni topish ehtimoli.

Kamchiligi — false positive ko‘proq bo‘lishi mumkin.

Protocol analysis

IDS protocol specificationga mos kelmaydigan yoki shubhali fieldlarni topadi.

Masalan:

Protocol decoder to‘liq va xavfsiz bo‘lishi kerak.

Deep Packet Inspection

IDS packet payloadni application qatlamigacha ko‘rishi mumkin.

Bu HTTP, DNS, email yoki boshqa protocol ichidagi patternlarni aniqlashga yordam beradi.

TLS bilan shifrlangan trafficda IDS payloadni ko‘ra olmaydi, agar traffic oldin decrypt qilinmasa.

Sensor joylashuvi

IDS qaysi nuqtada turgani ko‘rinadigan trafficni belgilaydi.

Internet oldida:

  • barcha tashqi scanlar;
  • ko‘p shovqin.

Firewall ortida:

  • faqat o‘tgan traffic;
  • ichki kontekst.

Server segmentida:

  • east-west movement;
  • ichki hujum.

Bir nechta sensor turli ko‘rinish beradi.

Port mirroring

Switch ma’lum port yoki VLAN trafficini IDS sensoriga nusxalaydi.

IDS traffic yo‘lida turmaydi.

Afzalligi — production oqimiga kam ta’sir.

Kamchiligi — mirror noto‘g‘ri sozlanishi, packet drop yoki asymmetric route sabab to‘liq flow ko‘rinmasligi mumkin.

Network TAP

TAP fizik yoki virtual tarzda traffic nusxasini beradi.

U monitoring uchun barqaror capture nuqtasi bo‘lishi mumkin.

Sensor capacity link tezligiga mos bo‘lmasa packetlar tushib qoladi.

Dropped packet metrici kuzatiladi.

Alert

IDS alerti quyidagi ma’lumotni saqlashi mumkin:

Alert SIEM yoki SOC workflow’ga yuboriladi.

False positive

Qonuniy scanner, monitoring, backup yoki application traffici signature’ga o‘xshashi mumkin.

Tuning:

  • asset context;
  • allowlist;
  • threshold;
  • direction;
  • vulnerable product mavjudligi;
  • environment

bilan bajariladi.

Rule’ni ko‘r-ko‘rona o‘chirish detectionni yo‘qotadi.

False negative

IDS hujumni ko‘rmasligi mumkin, agar:

IDS barcha hujumlarni to‘liq qamrab olmaydi.

Evasion

Attacker trafficni fragment qilish, encoding, protocol ambiguity yoki sekin yuborish orqali detector va targetning interpretationini farqlashga urinishi mumkin.

IDS target platformaga yaqin normalization qilishi kerak.

Aks holda IDS xavfsiz deb ko‘rgan traffic serverda zararli talqin qilinishi mumkin.

Encrypted traffic

TLS payloadni yashiradi.

IDS metadata orqali:

ni baholashi mumkin.

Decryption proxy mavjud bo‘lsa privacy va key himoyasi talab qilinadi.

IDS va IPS

IDS odatda passive kuzatadi va alert beradi.

IPS inline turib packet yoki connectionni bloklashi mumkin.

IDS false positive service’ni avtomatik to‘xtatmaydi.

IPS esa kuchli tuning va fail mode talab qiladi.

Baseline

Anomaly detection uchun odatiy traffic modeli vaqt, segment va service bo‘yicha tuziladi. Backup vaqtida katta data oqimi normal, oddiy ish vaqtida esa shubhali bo‘lishi mumkin. Yangi application yoki deployment baseline’ni o‘zgartiradi. Model muntazam yangilanmasa qonuniy faoliyat alert yaratadi yoki yangi xavf “normal” deb o‘rganiladi.

Detection coverage

IDS rule’lari qaysi protocol, asset va attack technique’larni qamrab olishi hujjatlashtiriladi. Faqat internet gatewayda sensor bo‘lsa ichki lateral movement ko‘rinmasligi mumkin. Endpoint, identity va application loglari bu visibility bo‘shlig‘ini to‘ldiradi.

Packet retention

Har alert bilan bog‘liq packet yoki qisqa flow nusxasi saqlansa tahlil osonlashadi. To‘liq packet capture katta storage va privacy talab qiladi. Retention va payload accessi faqat incident vazifasiga mos cheklanadi.

Rule yangilanishi

Yangi signature ishlab chiqaruvchi yoki ichki detection jamoasidan olinadi. Rule avval test trafficda tekshiriladi, keyin sensorlarga bosqichma-bosqich tarqatiladi. Parser yoki rule xatosi katta alert oqimi yaratishi mumkin.

Sensor health

Sensor traffic ko‘rmay qolsa alertlar ham to‘xtaydi. Interface holati, capture rate, packet drop va signature versioni markaziy monitoringda kuzatiladi.

Bog‘liq tushunchalar

Intrusion Detection System, Network IDS, Host IDS, Signature detection, Anomaly detection, Deep Packet Inspection, Network TAP, SIEM, IPS, Network monitoring