áá áºáá»áááºáá áá¬ááẠfirewall ááŸáá·áº anti-virus áááá¯ááááºáá»á¬ážááẠáá±áááœááºáž ááœááºáááºááᯠáá¬ááœááºááẠáá¯á¶áá±á¬ááºáá±á¬áºáááºážá áá±ááºáá®áááºáá¬áá»á¬ážááŸáá·áº áááŒá¬áá±ážáá®á ááŒá áºááœá¬ážáá²á·áá±á¬ malware áá»á¬ážá ááá¯ááºááá¯ááºááŸá¯ááᯠáááá±á¬ááºááŸá¯ áááŸáááá¯ááºáá±á¬á·áá«á áá±á¬ááºážááœááºáá±á¬ firewall á¡áá±á¬ááºážááẠpacket headers áá»á¬ážááá¯áᬠááœá²ááŒááºážá áááºááŒá¬ááŒá®áž ááá¬ážááẠá ááºážáá»ááºážáá»á¬ážááŸáá·áºá¡áá® áááºážááá¯á·ááᯠááŒááºááœá¬ážááŒááºáž ááá¯á·ááá¯áẠááááºááá¯á·ááŒááºáž ááŒá áºáááºá áááºážááẠáááºáá±á·áá»áºáá»á¬ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá¡ááŒá±á¬ááºáž áá¬ááŸááááá±á¬ááŒá±á¬áá·áº áá»á°ážáá»á±á¬áºáááºáá±á¬ááºáá°áá»á¬ážá á¡ááŒááºáááºážááá¬ážáááºáá¯ááºáááºáá»á¬ážááᯠá¡ááá¡ááŸááºáááŒá¯ááá¯ááºáá«á Anti-virus áááá¯ááááºáá»á¬ážááẠá¡ááŒá²áá á± áá²ááºáá²ááᯠááááºážáááá±á¬ááŒá±á¬áá·áº á¡ááºááááºááẠáááŸááºááááºáá¯ááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºá á áºáá±ážáᬠáá±á¬áá«ááá¯ážááŸááá±á¬ host áá»á¬ážááᯠá¡áá»áááºáá® áá®ážááŒá¬ážááœá²áá¯ááºáááá·áºáá¬áááºááŸáá·áº áááºááá¯ááºáá±ááááºá
áá¯áá¹ááá®á á¡áá¯ááºáá®á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááᯠáá¬ááœááºááẠááá·áºá¡á¬ážááœáá·áºááŒá¯ááá·áº á¡ááá·áºááŒáá·áºáááááá¬áá»á¬ážá
áœá¬ááŸááááºá ááá±á·áá»áœááºá¯ááºááá¯á·ááẠá
á»á±ážááŒá®ážáá±á¬ áá¬á·ááºáá²ááŸáá·áº áá±á¬á·ááºáá²ááºááá¯ááºá
ááºáá»á¬ážááᯠááááºáá² á¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáá±á¬ open source áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááᯠáá±á¬ááºááŸááºážááŒááºážááŸáá·áº áá¬ááœááºáá±ážá
áá
áºáá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážáá«áááºá
IDS/IPS á¡áá»áá¯ážá¡á á¬ážááœá²ááŒá¬ážááŒááºážá
IDS (Intrusion Detection System) ááẠááœááºáááºáá áºáᯠááá¯á·ááá¯áẠáá®ážááŒá¬ážááœááºáá»á°áá¬áá áºáá¯áá±á«áºááœáẠáá¶ááááŒá áºááœáẠááŸá¯ááºááŸá¬ážááŸá¯áá»á¬ážááᯠá á¬áááºážááœááºážááẠáá®ááá¯ááºážáá¯ááºáá¬ážáá±á¬ á áá áºáá áºáá¯ááŒá áºáááºá áááºážááẠááŒá áºáááºááŸááºáááºážáá»á¬ážááᯠááááºážááááºážáá¬ážááŒá®áž áááºážááá¯á·ááŸáá·áºáááºáááºááá·áº á¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážá¡ááœáẠáá¬áááºááŸááá¯áá¹ááá¯ááºá¡á¬áž á¡ááŒá±á¬ááºážááŒá¬ážáááºá IDS ááœáẠá¡á±á¬ááºáá«á¡áá»ááºáá»á¬áž áá«áááºáááº-
- ááœááºáááºá¡ááœá¬ážá¡áá¬á á¡áá»áá¯ážáá»áá¯ážáá±á¬ááŸááºáááºážáá»á¬ážááá¯ááŒáá·áºááŸá¯ááẠá¡á¬áá¯á¶áá¶áááááá¬áá»á¬áž
- áááºáá¶áááŸááá±á¬áá±áá¬ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ á¡áá»áá¯ážáááºáá±á¬ááºááŸá¯áá»á¬ážá ááá¹ááá¬áá»á¬ážááᯠááááŸáááá¯ááºáá±á¬ ááœá²ááŒááºážá áááºááŒá¬ááŸá¯á áá áºááœá²áá áºáá¯á
- áá°áááŒá áºáááºáá»á¬ážááŸáá·áº ááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááááºáá»á¬ážá á¯áá¯á¶ááŒááºážá¡ááœáẠááá¯ááŸá±á¬ááºááŸá¯á
- á á®áá¶ááá·áºááœá²ááŸá¯ console á
á¡á ááá¯ááºážááœáẠIDS ááᯠáááºáá±áá¬á¡ááá¯áẠááœá²ááŒá¬ážáá¬ážáááº- áááºážááá¯á·ááẠáá áºáŠážáá»ááºáž node áá»á¬ážááᯠáá¬ááœááºááŒááºáž (host-based ááá¯á·ááá¯áẠHost Intrusion Detection System - HIDS) ááá¯á·ááá¯áẠáá±á¬áºááá¯ááááºááœááºáááºáá áºáá¯áá¯á¶áž (ááœááºáááºá¡ááŒá±áᶠááá¯á·ááá¯áẠNetwork Intrusion Detection System - NIDS) ááᯠá¡á¬áá¯á¶á áá¯ááºááá¯ááºáááºá ááá¯á· áá±á«áºáᬠááŸááºáá¬ážááá¯ááºáá«áááºá APIDS (Application protocol-based IDS)- áááºážááá¯á·ááẠáá®ážááŒá¬ážááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááááŸááááºááŸáá·áº áááºááŸáá¯ááºážá áœá¬ááœá²ááŒááºážá áááºááŒá¬ááŒááºážáááŒá¯ááẠá¡ááá®áá±ážááŸááºážá¡ááœáŸá¬áááá¯ááá¯áá±á¬áá»á¬ážááᯠááá·áºáááºáá¬ážáá±á¬á¡á á¯á¡áá±ážááᯠá á±á¬áá·áºááŒáá·áºá á áºáá±ážáá«áááºá ááá¯ááá¯á·áá±á¬áá¯ááºáá¯ááºáá»á¬ážááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº proxies áá»á¬ážááŸáá·áºáááºáá°ááŒá®áž áá®ážááŒá¬ážáááºáá±á¬ááºááŸá¯áá»á¬ážááá¯áá¬ááœááºááẠá¡áá¯á¶ážááŒá¯ááŒáááº- áááºáá¬áá¬ááŸáá·áº áááºá¡ááºááá®áá±ážááŸááºážáá»á¬áž (á¥ááá¬á PHP ááŒáá·áºáá±ážáá¬ážáá¬ážááŒááºáž)á áá±áá¬áá±á·á áºáá¬áá¬áá»á¬áž á áááºááá¯á·ááŒá áºáááºá á€á¡áááºážááá¯á¶ááŸááºááá¯ááºá á¬ážááŸááºááẠApache áááºáá¬áá¬á¡ááœáẠmod_security ááŒá áºáááºá
áá»áœááºá¯ááºááá¯á·ááẠáá»ááºááŒáá·áºáá±á¬áááºááœááºáá±ážáááá¯ááá¯áá±á¬áá»á¬ážááŸáá·áº DPI (Deep Packet Inspection) áááºáááºááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááºážááá¬áá»á¬ážááᯠáá¶á·ááá¯ážáá±ážááá·áº universal NIDS ááᯠááá¯áá áááºáááºá á¬ážáá«áááºá áááºážááá¯á·ááẠáá±áá¬ááá·áºááºá¡ááœáŸá¬á០á áááºáᬠááŒááºáááºážááœá¬ážáá±á¬ á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠá á±á¬áá·áºááŒáá·áºáᬠáá»ááºááŒáá·áºáá±á¬ ááœááºáááºááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááá¯ááºááá·áºá¡ááŒáẠááááºážá¡áá»ááºá¡áááºááᯠááœáá·áºááŒá¯áá»ááºáááŸááá² áááºáá±á¬ááºááŒáá·áºááŸá¯áááºá áááŒá¬ááááá¯áááᯠááá¯á áá áºáá»á¬ážááẠááŒáá·áºáá±áá¬ážáá±á¬ áááá¯áá¬áá áºáá¯ááŸáááŒá®áž á¡áá»áá¯ážáá»áá¯ážáá±á¬ áááºááŒáœáá±á¬ááœááºáááºáááááá¬áá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºá¡áá»áá¯ážáááºáá±á¬ááºááá¯ááºáááºá áá±ááºáá® NIDS á¡áá»á¬ážá¡ááŒá¬ážááẠáá±á«ááºážá ááºááŒá®áž áá»ááºážáááºááŸá¯áá»á¬ážá áœá¬ááᯠáá±á«ááºážá ááºáá¬ážááŒá±á¬ááºáž áááááŒá¯áá«á ááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááŸáá·áº áááºáááºáá»á¬ážáá±á«áº áá°áááºá áááºážááá¯á·ááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ ááŒá¿áá¬áá»á¬ážááᯠááŒá±ááŸááºážááá¯ááºááẠ- á¥ááá¬á node áá áºáᯠááá¯á·ááá¯áẠááœááºáááºáá áºáá¯áá¯á¶ážááᯠáá¬ááœááºáá±ážáááºá ááá¯á·á¡ááŒááºá á¡áá¯ááºáá¯á¶áá»á¬ážá¡ááœáẠIDS áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááá¯ááºážáááºá áºááŸáááºáááºážáá±áž áááºáá±á·ááºá»áá»á¬ážá០ááœáŸá²ááŒá±á¬ááºážááá°áá²á·ááŒá®ážá á¡áá»ááºá¡áááºáá»á¬áž ááá¯ážáá°ááẠáááºááœááºááá·áº Trojan áá»á¬áž áá»á¶á·ááŸá¶á·ááŸá¯ááŒá±á¬áá·áº áá¶ááááŒá áºááœáẠá¡ááœá¬ážá¡áá¬áá»á¬ážááᯠá¡ááá¡ááŸááºááŒá¯ááŒááºážááŸáá·áº ááááºááá¯á·ááŒááºážááá¯ááºáᬠáá¬áááºáá»á¬ážááᯠááŒá±ááŸááºážáá±ážááá·áº áááºá á¯á¶áá¯á¶áž firewalls áá»á¬ážá¡ááŒá ẠááŒá±á¬ááºážáá²áá²á·áááºá
á¡á ááá¯ááºážááœááºá IDS ááẠáá²ááºáá²áá¯ááºáá±á¬ááºáá»ááºá ááááºáááºážá áááºáá¬áá»á¬áž ááá¯á·ááá¯áẠá¡áá¯á¶ážááŒá¯áá°á áá±á¬áºááá¯ááááºáá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážááᯠáá»áá¯ážáá±á¬ááºááŸá¯áá»á¬ážááá¯áᬠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºáááºá ááŒá áºáááºáá áºáá¯ááŒá áºááœá¬ážáá±á¬á¡áá« á¡ááºááááºá¡á¬áž áááºážááá¯á·á á¡ááŒá±á¬ááºážááŒá¬ážáá²á·áá±á¬áºáááºáž ááá¯ááºááá¯ááºááŸá¯ááᯠá¡ááá¡ááŸááºááŒá¯áá¯á¶áá»áŸááŒáá·áº ááá¯á¶áá±á¬ááºááŒá±á¬ááºáž áá»ááºááŒááºá áœá¬ áááá¬áááºááŸá¬ážáá¬áá²á·áááºá ááááºááá¯á·áá¬ážááẠááá¯á¡ááºáááºá ááá¯á·ááŒá±á¬áá·áº IDS ááẠFirewall áá»á¬ážááŸáá·áº á¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááá¯ááºáá±á¬ áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááŒáá¯áááºáá¬ááœááºáá±ážá áá áºáá»á¬áž IPS (Intrusion Prevention Systems) á¡ááŒá áºááá¯á· ááŒá±á¬ááºážáá²áá²á·áááºá
áá±á¬ááºááŸááºážáááºážáá»á¬áž
áá±ááºáá®áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááᯠáá±á¬ááºááŸááºážááŒááºážááŸáá·áº áá¬ážáá®ážááŒááºážááŒá±ááŸááºážáááºážáá»á¬ážááẠá¡áá»áá¯ážá¡á á¬ážáá¯á¶ážáá»áá¯ážááœá²ááá¯ááºááá·áº á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºáá±á¬ááºáá»ááºááᯠááŸá¬ááœá±áá±á¬áºáá¯ááºááẠáááºážáááºážá¡áá»áá¯ážáá»áá¯ážááᯠá¡áá¯á¶ážááŒá¯áááºá áááºážááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž á áá áºáá»á¬ážááᯠá¡áá»áá¯ážá¡á á¬ážááœá²ááŒá¬ážááŒááºážá¡ááœáẠáá±á¬ááºáááºááœá±ážáá»ááºááœáá·áºááᯠáá±ážáááº-
- Signature-based IDS/IPS ááẠááœááºáááºááá¯ááºááá¯ááºááŸá¯ ááá¯á·ááá¯áẠáá°ážá ááºáá¶áááŸá¯á¡á¬áž á á¯á¶á ááºážááááŸáááẠáááºážááŒá±á¬ááºážááá¯ááºáᬠáá¯á¶á á¶áá»á¬ážááᯠááŸá¬ááœá±áá« ááá¯á·ááá¯áẠá áá áºá¡ááŒá±á¡áá±ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºáá«á áááºážááá¯á·ááẠáááºááœá±á·á¡á¬ážááŒáá·áº á¡ááŸá¬ážá¡ááœááºážáá»á¬ážááŸáá·áº ááŸá¬ážááœááºážáá±á¬ á¡ááŒá¯ááá±á¬áá»á¬ážááᯠááá±ážáá±á¬ááºáá±á¬áºáááºáž á¡áááºááááá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážááᯠáá±á¬áºáá¯ááºááá¯ááºááŒááºáž áááŸááá±á
- áá¯á¶áááŸááº-áá±á¬ááºááŸááºážááŒááºáž IDS áá»á¬ážááẠááá¯ááºááá¯ááºáá±ážáááºááŸááºáá»á¬ážááᯠá¡áá¯á¶ážáááŒá¯áá«á áááºážááá¯á·ááẠááááºážá áá áºáá»á¬ážá áá¯á¶ááŸááºááá¯ááºáá±á¬ á¡ááŒá¯á¡áá°áá»á¬áž (ááœááºáááºá¡ááœá¬ážá¡áá¬ááœáẠááœá²ááœá²áá»ááºáá»á¬áž á¡áá«á¡áááº) ááᯠá¡ááá¡ááŸááºááŒá¯ááŒááŒá®áž á¡áááºáááááá¯ááºááá¯ááºááŸá¯áá»á¬ážááá¯ááẠááááŸáááá¯ááºáááºá ááá¯ááá¯á·áá±á¬á áá áºáá»á¬ážááẠááŸá¬ážááœááºážáá±á¬á¡ááŒá¯ááá±á¬áá»á¬ážá áœá¬ááá¯áá±ážáá±á¬ááºááŒá®áž áááŸááºááááºá¡áá¯á¶ážááŒá¯áá«á áá±áááœááºážááœááºáááºááááºáááºááŸá¯ááᯠáá»ááºá á±áá«áááºá
- á ááºážáá»á¥áºážá¡ááŒá±áᶠIDS áá»á¬ážáááº- FACT ááŒá áºáá»áŸáẠACTIONá á¡ááŸááºááŸá¬á á€á¡áá¬áá»á¬ážááẠá¡ááááá¬á¡ááŒá±áá¶áá»á¬ážáá«ááŸááá±á¬ áá»áœááºážáá»ááºáá°á áá áºáá»á¬ážááŒá áºáááº- á¡áá»ááºá¡áááºáá»á¬ážááŸáá·áº á á¯á¶á á¯á¶áá®ááœáŸááºááŸá¯ááá¯ááºáᬠá ááºážáá»ááºážáá»á¬ážááŒá áºáááºá ááá¯ááá¯á·áá±á¬ááŒá±ááŸááºážáááºážáá»á¬ážááẠá áá áºááá·áºááœááºážááẠá¡áá»áááºáá¯ááºááŒá®áž á á®áá¶ááá·áºááœá²áá°ááẠááœááºáááºá¡ááŒá±á¬ááºážááᯠá¡áá±ážá áááºáá¬ážáááºááẠááá¯á¡ááºáááºá
IDS ááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯áááá¯ááºáž
á¡ááºáá¬áááºááŸáá·áº áá±á¬áºááá¯ááááºááœááºáááºáá»á¬áž á¡ááŸáááºá¡áá¯ááºááŒáá·áº ááœá¶á·ááŒáá¯ážááá¯ážáááºááá·áºáá±ááºááẠááŒá®ážáá²á·ááá·áºáá¬á á¯ááŸá Ạ90s ááœáẠá áááºáá²á·áá±á¬áºáááºáž áá»áœááºážáá»ááºáá°áá»á¬ážá á¡ááá·áºááŒáá·áºááœááºáááºáá¯á¶ááŒá¯á¶áá±ážáááºážááá¬áá»á¬ážááŒá±á¬áá·áº á¡áááºážáááºá á±á¬ááŒá®áž ááá±áá¹ááááŒá áºáá²á·ááŒáááºá 1986 áá¯ááŸá áºááœáẠDorothy Denning ááŸáá·áº Peter Neumann ááá¯á·ááẠáá±ááºá¡áá®áá¯á¶áž áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááŸá¬ááœá±áá±ážá áá áºáá»á¬ážá á¡ááŒá±áá¶ááŒá áºáá¬áá±á¬ IDES (Intrusion detection expert system) model ááá¯áá¯ááºáá±áá²á·áááºá áá°áááẠááááŸááá¬ážáá±á¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá ááááºážááááºážááá¯ááºáá¬áááºážáááºážáá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°/á áá áºáááá¯ááá¯ááºáá»á¬ážááᯠááŸá¬ááœá±áá±á¬áºáá¯ááºááẠáá»áœááºážáá»ááºáá°á áá áºáá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá IDES ááẠSun workstations ááœáẠá¡áá¯ááºáá¯ááºááŒá®áž ááœááºáááºá¡ááœá¬ážá¡áá¬ááŸáá·áº á¡ááºááºáá±áá¬ááᯠá á áºáá±ážáááºá 1993 áá¯ááŸá áºááœáẠNIDES (Next-generation Intrusion Detection Expert System) - áá»áá¯ážáááºáá Ạáá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ áá±á¬ááºááŸááºážááŒááºážááá¯ááºáᬠáá»áœááºážáá»ááºáá°á áá Ạááᯠáá¯ááºáá±áá²á·áááºá
Denning ááŸáá·áº Neumann ááá¯á·áá¡áá¯ááºá¡áá±á«áºá¡ááŒá±áá¶á MIDAS (Multics intrusion detection and alerting system) áá»áœááºážáá»ááºáá°á áá ẠP-BEST ááŸáá·áº LISP ááá¯á¡áá¯á¶ážááŒá¯á 1988 áá¯ááŸá áºááœáẠáá±á«áºáá¬áá²á·áááºá áá áºáá»áááºáááºážááŸá¬áááºá ááááºážááááºážá¡áá»ááºá¡áááºáá»á¬ážááá¯á¡ááŒá±áá¶áá±á¬ Haystack á áá áºááá¯áááºáá®ážáá²á·áááºá áá±á¬ááºááẠááááºážááááºážááá¯ááºáᬠááœá²ááœá²ááŸá¬ážáá±áá±á¬ áá±á¬ááºááŸááºážáááááᬠW&S (Wisdom & Sense) ááᯠáá áºááŸá áºá¡ááŒá¬ááœáẠLos Alamos á¡áá»áá¯ážáá¬ážáá¬ááºááœá²áááºážááœáẠáá®ááœááºáá²á·áááºá á ááºááŸá¯áá¯ááºáááºážááẠá¡ááŸáááºá¡áá¯ááºááŒáá·áº ááá¯ážáááºáá¬áááºá á¥ááá¬á¡á¬ážááŒáá·áºá 1990 ááœááºá áá¯á¶ááŸááºá¡áá¯á¶ážááŒá¯áá°áá¯á¶á á¶áá»á¬áž (Common LISP language) ááœáẠinductive learning ááá¯á¡áá¯á¶ážááŒá¯á TIM (Time-based inductive machine) á áá áºááœáẠááœá²ááœá²á áœá¬ááááŸáááá¯ááºááŸá¯ááᯠá áááºáá¯ááºáá±á¬ááºáá±ááŒá®ááŒá áºáááºá NSM (Network Security Monitor) ááẠáá¯á¶ááŸááºááá¯ááºáá±á¬ áá±á¬ááºááŸááºážááŸá¯á¡ááœáẠáááºáá±á¬ááºááá¯ááºáá±á¬ matrices áá»á¬ážááᯠááŸáá¯ááºážááŸááºááŒá®áž ISOA (Information Security Officer's Assistant) ááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ áá±á¬ááºááŸááºážááŸá¯áá»á°áá¬áá»á¬ážááᯠáá¶á·ááá¯ážáá±ážáááº- á á¬áááºážá¡ááºážáááºážáááºážáá»á¬ážá áááá¯ááá¯ááºá á áºáá±ážááŒááºážááŸáá·áº áá»áœááºážáá»ááºáá°á áá áºá AT&T Bell Labs ááœáẠáááºáá®ážáá¬ážáá±á¬ ComputerWatch á áá áºááẠááááºážááááºážááá¯ááºáᬠáááºážáááºážáá»á¬ážááŸáá·áº á ááºážáá»ááºážáá»á¬ážááᯠá áá á áºáááºá¡ááœáẠá¡áá¯á¶ážááŒá¯áá²á·ááŒá®áž áááºáá®ááá¯ážáá®ážáá¬ážááá¹áááá¯ááºá០developer áá»á¬ážááẠ1991 áá¯ááŸá áºááœáẠááŒáá·áºáá±áá¬ážáá±á¬ IDS á ááááá¯á¶áž ááŸá±á·ááŒá±ážáá¯á¶á á¶ááᯠáááŸááá²á·ááẠ- DIDS (Distributed intrusion detection system) ááá¯áááºáž áá»áœááºážáá»ááºáá°áá áºáŠážáááºážááŒá áºáááºá á áá áºá
á¡á ááá¯ááºážááœáẠIDS ááẠáá°ááá¯ááºááŒá áºáá±á¬áºáááºáž áááá áá¯ááŸá áºááœáẠá¡áá»áá¯ážáá¬ážáá¬ááºááœá²áááºážááŒá áºáááºá Berkeley á០Lawrence ááẠlibpcap áá±áá¬ááá¯ááœá²ááŒááºážá áááºááŒá¬áááºá¡ááœáẠáááºážáááá¯ááºááá¯ááºá ááºážáá»ááºážáá¬áá¬á áá¬ážááá¯á¡áá¯á¶ážááŒá¯ááá·áº á¡ááœáá·áºá¡áááºážá¡ááŒá áºá áá áºááŒá áºááá·áº Bro (1998 áá¯ááŸá áºááœáẠZeek áá¯á¡áááºááŒá±á¬ááºážáá²á·áááº) ááᯠáá¯ááºááŒááºáá²á·áááºá ááá¯ááŸá áºááá¯áááºáá¬áááœááºá libpcap ááá¯á¡áá¯á¶ážááŒá¯á APE áááºáááºááᯠsniffer áá±á«áºáá¬ááŒá®áž áá áºáá¡ááŒá¬ááœáẠSnort áá¯á¡áááºááŒá±á¬ááºážáá²á·ááŒá®áž áá±á¬ááºááá¯ááºážááœáẠááŒáá·áºá á¯á¶áá±á¬ IDS/IPS ááŒá áºáá¬áá²á·áááºá áá áºáá»áááºáááºážááŸá¬áááºá áá°ááá¯ááºááœáá·áºááá¯ááºáᬠááŒá±ááŸááºážáá»ááºáá»á¬ážá áœá¬ áá±á«áºáá¬áá²á·áááºá
Snort ááŸáá·áº Suricata
áá¯áá¹ááá®áá»á¬ážá áœá¬ááẠá¡ááá²á·ááŸáá·áº ááœáá·áºáááºážáá±á¬á¡áááºážá¡ááŒá ẠIDS/IPS ááá¯ááŸá áºáááºááŒáááºá áá±á¬áºááŒááŒá®ážáá¬áž Snort ááᯠá á¶ááŒá±ááŸááºážáá»ááºá¡ááŒá Ạá¡áá»áááºá¡áá±á¬áºááŒá¬á¡á±á¬áẠáá°ááá²á·áá±á¬áºáááºáž ááá¯á¡áá« Suricata á áá áºááŒáá·áº á¡á á¬ážááá¯ážááá¯ááºáá«ááŒá®á áááºážááá¯á·á á¡á¬ážáá¬áá»ááºáá»á¬ážááŸáá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áááºážáááºá¡áá±ážá ááẠáá¯á¶ážáááºááŒáá·áºáá«á Snort ááẠá¡áá»áááºááŸáá·áºáá áºááŒá±ážáá® áááŸááºáááẠááááŸáááŒááºážááŸáá·áºá¡áá° áááºááŸááºáááºážáááºážá á¡áá»áá¯ážáá»á±ážáá°ážáá»á¬ážááᯠáá±á«ááºážá ááºáá¬ážáááºá Suricata ááẠááá¯ááºááá¯ááºáá±áž áááºááŸááºááŸá¬ááœá±ááŒááºážá¡ááŒáẠá¡ááŒá¬ážáááºážáááºážáá»á¬ážááá¯áááºáž ááœáá·áºááŒá¯áá«áááºá Snort ááá±á¬áá»ááºááŸááœá²ááœááºááŒá®áž áá¬ážááŸááºáž 1.4 ááááºážá IPS á¡ááºá¹áá«áááºáá»á¬ážááᯠáá¶á·ááá¯ážáá±ážááá·áº developer áá»á¬ážá¡á¯ááºá á¯á០áááºáá®ážáá¬ážáᬠáá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯ááᯠáá¬ááœááºááŒááºážááŸá¬ áá±á¬ááºááá¯ááºážááœáẠSnort ááœáẠáá±á«áºáá¬áááºá
áá°ááŒáá¯ááºáá»á¬ážáá±á¬ áá¯ááºáá¯ááºááŸá áºáá¯ááŒá¬ážááœáẠá¡áááááœá¬ááŒá¬ážáá»ááºááŸá¬ IDS ááœááºáá»á°áá¬á¡ááœáẠGPU ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº Suricata ááŸáá·áº ááá¯ááá¯á¡ááá·áºááŒáá·áºáá±á¬ IPS ááá¯á·ááŒá áºáááºá á áá áºááẠáá°áá multi-threading á¡ááœáẠáá®ááá¯ááºážáá¯ááºáá¬ážááŒá®áž Snort ááẠsingle-threaded áá¯ááºáá¯ááºááŒá áºáááºá áááºážáááŸááºáá»á¬ážáá±á¬áááá¯ááºážááŒá±á¬ááºážááŸáá·áº á¡ááœá±á¡ááŸá áºáá¯ááºáá»á¬ážááŒá±á¬áá·áºá áááºážááẠmulti-processor/multi-core áá¬á·ááºáá²ááááºáá±á¬ááºážáá»á¬ážááᯠá¡áá±á¬ááºážáá¯á¶ážá¡áá¯á¶ážáááŒá¯ááá¯ááºáá±á¬áºáááºáž Suricata ááẠáá¯á¶ááŸááºáá±áá°áá»áááºááœááºáá»ááºááœááºáá»á°áá¬áá»á¬ážááœáẠ10 Gbps á¡áá traffic ááᯠááá¯ááºááœááºááá¯ááºáááºá á áá áºááŸá áºáá¯ááŒá¬ážááŸá áááºáá°ááá¯ážááŸá¬ážáá»á¬ážááŸáá·áº ááœá²ááŒá¬ážááŸá¯áá»á¬ážááᯠá¡áá»áááºá¡áá±á¬áºááŒá¬á¡á±á¬áẠáááºááŒá±á¬ááá¯ááá¯ááºáá±á¬áºáááºáž Suricata á¡ááºáá»ááºááẠááá¯ááá¯ááŒááºáááºá áœá¬ á¡áá¯ááºáá¯ááºáá±á¬áºáááºáž áá»ááºááŒáá·áºááœááºážáá±á¬ áá»ááºáááºáá»á¬ážá¡ááœááºáá° á¡áá±ážáááŒá®ážáá«á
ááŒáá·áºáá»ááºááœá±ážáá»ááºá áá¬áá»á¬áž
á áá áºááẠáááºážáááááºážáá»á¯ááºááŸá¯á¡á±á¬ááºááœáẠááœááºáááºá¡ááá¯ááºážáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááá¯ááºá á±ááẠIPS ááᯠáá¬ážááŸáááá«áááºá á¡áá»á¬ážá á¯ááŸá¬á áááºážááẠá¡áá°ážáá®ážááá·áºááœááºáá»á°áá¬ááŒá áºááŒá®ážá edge devices áá»á¬ážáá±á¬ááºááœáẠáá»áááºáááºáᬠáááºážááá¯á·á¡á¬áž áá¯á¶ááŒá¯á¶ááŸá¯áááŸááá±á¬ á¡áá»á¬ážáá°ááŸá¬ááœááºáááºáá»á¬áž (á¡ááºáá¬áááº) ááá¯á· âááŒáá·áºâ áá±ážááá·áº áá»ááºááŸá¬ááŒááºáá áºáá¯ááŒá áºáááºá á¡ááŒá¬áž IPS á¡ááºáá¬áá±á·á áºááẠá¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠá áá áºááŸáááá·áº ááŒááºáááºážááŒá®áž ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºááẠáá¬ááœááºáá¬ážáá±á¬ á¡ááá¯ááºážá ááá·áºááœááºážááŸá¯ááá¯á· áá»áááºáááºáá¬ážáááºá ááá¯ááá¯ááŸá¯ááºááœá±ážáá±á¬ááá á¹á áá»á¬ážááœááºá á¡áá¬á¡ááœááºáá±ážáá¬ážáá±á¬ á¡ááá¯ááºážáá»á¬ážá áœá¬ááŸáááá¯ááºáááº- á¥ááá¬á¡á¬ážááŒáá·áºá áá±á¬áºááá¯ááááºááœááºáááºáá»á¬ážááœáẠá á áºáá²á·áá¯áẠ(DMZ) ááᯠá¡ááºáá¬áááºá០áááŸáááá¯ááºáá±á¬áááºáá±á¬ááºááŸá¯áá»á¬ážááŒáá·áº ááœá²áá±áá±ážáá±á·ááŸááááºá
ááá¯ááá¯á·áá±á¬ IPS ááẠport scanning ááá¯á·ááá¯áẠbrute force ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá mail serverá web server ááá¯á·ááá¯áẠscripts áá»á¬ážááŸáá·áº á¡ááŒá¬ážáá±á¬ ááŒááºáááá¯ááºááá¯ááºááŸá¯á¡áá»áá¯ážá¡á
á¬ážáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»ááŒááºážááᯠáá¬ážáá®ážááá¯ááºáááºá ááŒááºááœááºážááœááºáááºááŸá ááœááºáá»á°áá¬áá»á¬ážááœáẠmalware áá°ážá
ááºáá¶ááá«áá IDS ááẠáááºážááá¯á·á¡á¬áž ááŒááºá botnet áá¬áá¬áá»á¬ážááŸáá·áº áááºááœááºááŒááºážá០áá¬ážáá®ážáá±ážáááºááŒá
áºáááºá á¡ááœááºážááœááºáááºá ááá¯ááá¯áá±ážáááºáá±á¬ áá¬ááœááºááŸá¯ááẠááŒáá·áºáá±ááŸá¯á
áá
áºááŒáá·áº ááŸá¯ááºááœá±ážáá±á¬ ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶áá
áºáᯠááá¯á¡ááºááŒá®áž ááááºáááºážáá»á¬ážáá²á០áá
áºáá¯ááŸáá·áº áá»áááºáááºáá¬ážáá±á¬ IDS á¡ááºáá¬áá±á·á
áºá¡ááœáẠá¡ááœá¬ážá¡áá¬ááᯠáááºáááºááá¯ááºááá·áº áááºááá¯ážááŒá®ážáá±á¬ á
á®áá¶ááá·áºááœá²ááá·áº ááá¯ááºáá»á¬áž ááá¯á¡ááºáá«áááºá
áááŒá¬ááááá¯áááᯠáá±á¬áºááá¯ááááºááœááºáááºáá»á¬ážááẠááŒáá·áºáá±áá¬ážáá±á¬ ááŒááºážáááºááŒááºáž-áááºáá±á¬ááºááŸá¯ (DDoS) ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá¶ááááºáááºá áá±ááºáá® IDS áá»á¬ážááẠáááºážááá¯á·ááᯠááá¯ááºááœááºááŒá±ááŸááºážááá¯ááºáá±á¬áºáááºážá á¡áááºáá±á¬áºááŒáá« ááŒáá·áºáá»ááºááœá±ážáá»ááºááŸá¯ááŸá¬ á€áá±áá¬ááœáẠá¡áá°á¡áá®á¡áááºážáááºáá¬ááŸááááºá á áá áºááẠá¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá±á¬ááºáá»ááºááᯠá¡ááá¡ááŸááºááŒá¯ááŒá®áž ááá¯ážááœá¬ážáá±á¬ á¡ááœá¬ážá¡áá¬áá»á¬ážááᯠááááºááá¯á·áá¬ážáá±á¬áºáááºáž áááºážá¡ááœáẠáááºáááºáá»á¬ážááẠááŒááºáá¡ááºáá¬áááºáá»áááºáááºááŸá¯ááŸáá áºááá·áº ááŒááºáááºážááŒá®áž áááºážáááœááºáááºáá»ááºááŸá¬ááŒááºááá¯á· áá±á¬ááºááŸáááááºááŒá áºáááºá ááá¯ááºááá¯ááºááŸá¯áááŒááºážáááºááŸá¯á¡áá±á«áºáá°áááºá áá±áá¬áá¯ááºááœáŸáá·áºááá·áºáá»ááºáááºááẠáááºá¡á¬ážááá¯ááááºážáá»á±á¬ááºážááá¯ááºáááºááá¯ááºááá·áºá¡ááŒáẠááá¯ááºááá¯ááºáá°áá»á¬ážááááºážááá¯ááºááᯠá¡á±á¬ááºááŒááºááá¯ááºáááºááŒá áºáááºá ááá¯ááá¯á·áá±á¬ááá á¹á áá»á¬ážá¡ááœááºá áá»áœááºá¯ááºááá¯á·ááẠáá°áááá»á¬ážáá±á¬ á¡ááºáá¬áááºáá»áááºáááºááŸá¯ááŒáá·áº ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ á¡ááºáá¬áááºáá»áááºáááºááŸá¯ááŒáá·áº virtual áá¬áá¬ááœáẠIDS ááᯠá¡áá¯á¶ážááŒá¯ááẠá¡ááŒá¶ááŒá¯áá«áááºá áááºááẠVPS ááᯠVPN áá áºáá¯ááŸáá áºááá·áº áá±áááœááºážááœááºáááºááá¯á· áá»áááºáááºááá¯ááºááŒá®ážá ááá¯á·áá±á¬áẠáááºážááŸáá áºááá·áº ááŒááºáá¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠáááºážááŒá±á¬ááºážáááºááŸááºááẠááá¯á¡ááºáááºááŒá áºáááºá ááá¯á·áá±á¬ááºá DDoS ááá¯ááºááá¯ááºááŸá¯áá áºáá¯ááœááºá áááºáá±á¬ááºááŸá¯áá±ážáá°áá¶ááá¯á· áá»áááºáááºááŸá¯ááŸáá áºááá·áº packet áá»á¬ážááᯠáá±á¬ááºážááŸááºááẠáááá¯á¡ááºáá² áááºážááá¯á·ááᯠááŒááºá host ááœáẠááááºááá¯á·ááœá¬ážáááºááŒá áºáááºá
ááŸá±ážááá»áŒááŸá¯áááŒá¿áá¬
ááœááºáááºáá±á¬á áá áºáá»á¬ážááŒá¬ážááœáẠáá±á«ááºážáá±á¬ááºáá áºáŠážááᯠááœá²ááŒá¬ážáááºááŸááºááẠá¡ááœááºáááºáá²áááºá IDS/IPS áááœá±ážáá»ááºááŸá¯á¡á¬áž ááœááºááẠtopologyá ááá¯á¡ááºáá±á¬áá¬ááœááºááŸá¯áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá á á®áá¶ááá·áºááœá²áá°áááá¯ááºáá±ážááá¯ááºáá¬á¡ááŒáá¯ááºáá»á¬ážááŸáá·áº áááºáááºáá»á¬ážááŸáá·áºáááºáááºááá¯á áááºááŒáá·áºáá¯á¶ážááŒááºáááºá Snort ááœáẠááŸááºáá»á¬ážáá±á¬ ááŸááºáááºážááŸáááŒá®áž Suricata á á¡áá»ááºá¡áááºááẠá¡áœááºááá¯ááºážááœáẠááŸá¬ááœá±ááẠááœááºáá°áá±á¬áºáááºáž ááŸááºáááºážááŸááºáᬠááá¯áá±á¬ááºážáá«áááºá áááºááá¯á·áááºááá¯á á±áá¬áá° á áá áºá¡á¬áž áá»áœááºážáá»ááºá á±áááºá¡ááœáẠáááºááẠá¡áá»áá¯á·áá±á¬ ááŒáá¯ážáááºážá¡á¬ážáá¯ááºááŸá¯áá»á¬áž ááŒá¯áá¯ááºááááºááŒá áºááŒá®áž áá±á¬ááºáá¯á¶ážááœáẠá¡ááŒááºá¡á áœááºážáááá¯ááºááẠ- á á®ážááœá¬ážááŒá Ạáá¬á·ááºáá²ááŸáá·áº áá¬á·ááºáá²áá±á¬á·ááºáá²áẠIDS / IPS ááá¯á·ááẠá¡ááœááºá á»á±ážááŒá®ážááŒá®áž áááºáá»ááºááŸáá·áº á¡ááŒá²áááá¯ááºáá®áá«á á á®áá¶ááá·áºááœá²áá°áá±á¬ááºážáá áºáŠážááẠá¡áá¯ááºááŸááºááá¯ááºáá»á ááááºááŒáá·áº áá°á·á¡áááºá¡áá»ááºážáá»á¬ážááᯠá¡ááŒá²ááá¯ážáááºá á±áá±á¬ááŒá±á¬áá·áº áá¯á¶ážá áœá²áá²á·ááá·áºá¡áá»áááºááᯠáá±á¬ááºáááááºáááá¯ááºáááºáá«á áá®á¡ááŒá±á¡áá±ááŸá¬ áá°ááá¯ááºážá ááá¯ááºááŒáá«áááºá áá±á¬ááºáá±á¬ááºážáá«ážááœááºá Suricata ááŒáá·áºáá»ááºááŸá¯ááœá±ážáá»ááºá áá¬á¡áá»áá¯á·ááᯠááŒáá·áºááŸá¯ááŒá®áž ááá¯ááá¯áá±ááºáá®áá±á¬á áá áºá¡á¬áž áááºááœá±á·ááœáẠclassic IDS/IPS Snort ááŸáá·áº ááŸáá¯ááºážááŸááºáá«áááºá
source: www.habr.com