W informatyce system wykrywania włamań do sieci (NIDS) to specjalne urządzenie bezpieczeństwa cybernetycznego, które monitoruje przychodzący ruch sieciowy. To oprogramowanie odczytuje pakiety wiadomości wysyłane przez sieć i określa, czy są one złośliwe lub szkodliwe. Wiele firm i innych organizacji potrzebuje tych systemów, aby zapewnić bezpieczeństwo sieci komputerowych.
System wykrywania włamań do sieci jest często uważany za pierwszą linię obrony sieci komputerowej. Ten system może filtrować przychodzący ruch sieciowy w oparciu o predefiniowane reguły zagrożeń cybernetycznych. NIDS może monitorować sieć pod kątem wielu rodzajów cyberzagrożeń. Obejmują one ataki typu „odmowa usługi”, wirusy, robaki i szkodliwy spam.
Większość systemów wykrywania włamań monitoruje przychodzący i wychodzący ruch sieciowy firmy. To oprogramowanie zabezpieczające odczytuje pakiety wiadomości przesyłane w całej firmie w poszukiwaniu złośliwej aktywności. Gdy podejrzana wiadomość zostanie wykryta, zwykle jest rejestrowana i blokowana w sieci.
System wykrywania włamań do sieci może również uczyć się na podstawie wykrytych zagrożeń. Ponieważ wiadomości są blokowane z sieci, są dodawane do drzewa odpowiedzi na przyszłe potencjalne zagrożenia. Zapewnia to szybkie dodawanie nowych wirusów do systemu wykrywania, blokując w ten sposób złośliwą aktywność.
System wykrywania włamań do sieci oparty na protokole to specjalna forma wykrywania, która wyszukuje określone typy wiadomości na podstawie protokołu. To oprogramowanie zabezpieczające wyszukuje wiadomości w oparciu o istniejący protokół. Niektóre przykłady omówionych protokołów obejmują protokół przesyłania hipertekstu (HTTP), bezpieczny protokół przesyłania hipertekstu (HTTPS) i prosty protokół przesyłania poczty (SMTP).
Niektóre programy zabezpieczające mogą filtrować złośliwą aktywność na podstawie określonych adresów IP. Ten rodzaj systemu wykrywania włamań do sieci jest uważany za mniej wyrafinowane narzędzie, ponieważ wielu hakerów cyberbezpieczeństwa fałszuje adres IP, starając się ukryć przed oprogramowaniem zabezpieczającym. Filtrowanie adresów IP jest podobne do rejestru bez wywoływania. System szuka żądań z określonych adresów IP i odmawia dostępu do sieci, gdy zostanie znaleziony podejrzany adres.
Przełącznik obejściowy jest zwykle zawarty w systemie wykrywania włamań. Ten przełącznik jest urządzeniem sprzętowym, które zapewnia bramę dla oprogramowania monitorującego w celu przeglądania pakietów w sieci. Przełącznik obejścia znajduje się w punkcie wejścia do sieci, aby zapewnić filtrowanie złośliwych wiadomości.
Wiele zaawansowanych systemów wykrywania włamań może monitorować i łapać cyberprzestępców. Systemy te ustawiają alarmy wewnętrzne i zapewniają metodę wyłapywania i rejestrowania złośliwej aktywności. Monitorując urządzenia w ten sposób, specjaliści ds. bezpieczeństwa mogą zlokalizować i wyłączyć cyberhakerów.