IDS — tarmoq yoki hostdagi faoliyatni kuzatib, zararli, shubhali yoki policy’ga zid hodisalarni aniqlash va alert yaratishga mo‘ljallangan tizim. To‘liq nomi Intrusion Detection System.
IDS odatda traffic yoki system hodisasini kuzatadi, lekin uni avtomatik bloklash majburiy emas. Bloklashga yo‘naltirilgan tizim IPS deb ataladi.
Network IDS
NIDS tarmoq trafficini kuzatadi.
U quyidagi joylarda ishlashi mumkin:
- internet gateway;
- DMZ;
- datacenter;
- server segment;
- cloud virtual network;
- branch office;
- mirrored switch port.
NIDS packet yoki flow’ni tahlil qilib hujum patternlarini aniqlaydi.
Host IDS
HIDS bitta endpoint yoki server ichidagi faoliyatni kuzatadi.
Manbalar:
- system log;
- file integrity;
- process;
- login;
- registry;
- audit event;
- configuration;
- rootkit indikatorlari.
HIDS endpoint agentiga tayanishi mumkin.
Signature-based detection
Ma’lum exploit, malware yoki protocol patterni signature orqali aniqlanadi.
Afzalligi:
- aniq;
- tez;
- known threat uchun tushunarli.
Kamchiligi:
- yangi variantni o‘tkazib yuborishi;
- obfuscation;
- encryption;
- signature yangilanishiga bog‘liqlik.
Anomaly-based detection
Tizim odatiy traffic yoki behavior baseline’ini o‘rganadi.
Normadan chetga chiqish alert beradi.
Misollar:
Afzalligi — noma’lum hujumni topish ehtimoli.
Kamchiligi — false positive ko‘proq bo‘lishi mumkin.
Protocol analysis
IDS protocol specificationga mos kelmaydigan yoki shubhali fieldlarni topadi.
Masalan:
- noto‘g‘ri flag;
- g‘ayrioddiy uzunlik;
- invalid sequence;
- protocol ichida boshqa protocol;
- ma’lum exploit structure.
Protocol decoder to‘liq va xavfsiz bo‘lishi kerak.
Deep Packet Inspection
IDS packet payloadni application qatlamigacha ko‘rishi mumkin.
Bu HTTP, DNS, email yoki boshqa protocol ichidagi patternlarni aniqlashga yordam beradi.
TLS bilan shifrlangan trafficda IDS payloadni ko‘ra olmaydi, agar traffic oldin decrypt qilinmasa.
Sensor joylashuvi
IDS qaysi nuqtada turgani ko‘rinadigan trafficni belgilaydi.
Internet oldida:
- barcha tashqi scanlar;
- ko‘p shovqin.
Firewall ortida:
- faqat o‘tgan traffic;
- ichki kontekst.
Server segmentida:
- east-west movement;
- ichki hujum.
Bir nechta sensor turli ko‘rinish beradi.
Port mirroring
Switch ma’lum port yoki VLAN trafficini IDS sensoriga nusxalaydi.
IDS traffic yo‘lida turmaydi.
Afzalligi — production oqimiga kam ta’sir.
Kamchiligi — mirror noto‘g‘ri sozlanishi, packet drop yoki asymmetric route sabab to‘liq flow ko‘rinmasligi mumkin.
Network TAP
TAP fizik yoki virtual tarzda traffic nusxasini beradi.
U monitoring uchun barqaror capture nuqtasi bo‘lishi mumkin.
Sensor capacity link tezligiga mos bo‘lmasa packetlar tushib qoladi.
Dropped packet metrici kuzatiladi.
Alert
IDS alerti quyidagi ma’lumotni saqlashi mumkin:
Alert SIEM yoki SOC workflow’ga yuboriladi.
False positive
Qonuniy scanner, monitoring, backup yoki application traffici signature’ga o‘xshashi mumkin.
Tuning:
- asset context;
- allowlist;
- threshold;
- direction;
- vulnerable product mavjudligi;
- environment
bilan bajariladi.
Rule’ni ko‘r-ko‘rona o‘chirish detectionni yo‘qotadi.
False negative
IDS hujumni ko‘rmasligi mumkin, agar:
- traffic encrypted;
- sensor yo‘lda emas;
- packet drop;
- yangi exploit;
- fragmentation yoki evasion;
- signature yo‘q;
- endpoint local hujum;
- log yetishmaydi.
IDS barcha hujumlarni to‘liq qamrab olmaydi.
Evasion
Attacker trafficni fragment qilish, encoding, protocol ambiguity yoki sekin yuborish orqali detector va targetning interpretationini farqlashga urinishi mumkin.
IDS target platformaga yaqin normalization qilishi kerak.
Aks holda IDS xavfsiz deb ko‘rgan traffic serverda zararli talqin qilinishi mumkin.
Encrypted traffic
TLS payloadni yashiradi.
IDS metadata orqali:
- destination;
- certificate;
- SNIga oid signal;
- traffic hajmi;
- timing;
- fingerprint
ni baholashi mumkin.
Decryption proxy mavjud bo‘lsa privacy va key himoyasi talab qilinadi.
IDS va IPS
IDS odatda passive kuzatadi va alert beradi.
IPS inline turib packet yoki connectionni bloklashi mumkin.
IDS false positive service’ni avtomatik to‘xtatmaydi.
IPS esa kuchli tuning va fail mode talab qiladi.
Baseline
Anomaly detection uchun odatiy traffic modeli vaqt, segment va service bo‘yicha tuziladi. Backup vaqtida katta data oqimi normal, oddiy ish vaqtida esa shubhali bo‘lishi mumkin. Yangi application yoki deployment baseline’ni o‘zgartiradi. Model muntazam yangilanmasa qonuniy faoliyat alert yaratadi yoki yangi xavf “normal” deb o‘rganiladi.
Detection coverage
IDS rule’lari qaysi protocol, asset va attack technique’larni qamrab olishi hujjatlashtiriladi. Faqat internet gatewayda sensor bo‘lsa ichki lateral movement ko‘rinmasligi mumkin. Endpoint, identity va application loglari bu visibility bo‘shlig‘ini to‘ldiradi.
Packet retention
Har alert bilan bog‘liq packet yoki qisqa flow nusxasi saqlansa tahlil osonlashadi. To‘liq packet capture katta storage va privacy talab qiladi. Retention va payload accessi faqat incident vazifasiga mos cheklanadi.
Rule yangilanishi
Yangi signature ishlab chiqaruvchi yoki ichki detection jamoasidan olinadi. Rule avval test trafficda tekshiriladi, keyin sensorlarga bosqichma-bosqich tarqatiladi. Parser yoki rule xatosi katta alert oqimi yaratishi mumkin.
Sensor health
Sensor traffic ko‘rmay qolsa alertlar ham to‘xtaydi. Interface holati, capture rate, packet drop va signature versioni markaziy monitoringda kuzatiladi.
Bog‘liq tushunchalar
Intrusion Detection System, Network IDS, Host IDS, Signature detection, Anomaly detection, Deep Packet Inspection, Network TAP, SIEM, IPS, Network monitoring