Ugrás a tartalomhoz

intrusion detection system

A Wikiszótárból, a nyitott szótárból

Angol


Főnév

intrusion detection system (tsz. intrusion detection systems)

  1. (informatika) illetéktelen hálózati behatolást jelző rendszer

Az Intrusion Detection System (IDS) – magyarul behatolásérzékelő rendszer – egy olyan biztonsági technológia, amelynek célja a számítógépes rendszerekbe, hálózatokba irányuló illetéktelen vagy gyanús tevékenységek azonosítása. Az IDS figyeli a hálózati vagy rendszerszintű forgalmat, elemzi annak viselkedését, és ha támadásra, szabálysértésre vagy anomáliára utaló jeleket talál, riasztást küld, hogy a rendszergazda vagy a biztonsági csapat időben beavatkozhasson.

Az IDS passzív védelmi rendszer, azaz nem avatkozik be automatikusan, hanem érzékel és jelent, ellentétben az IPS-sel (Intrusion Prevention System), amely megelőző módon le is állítja a gyanús műveletet.


🎯 Az IDS célja

  • Illetéktelen hozzáférések, támadási kísérletek, szabályszegések észlelése.
  • Riasztás küldése az adminisztrátornak vagy egy SIEM rendszernek.
  • Naplózás a későbbi forensics elemzéshez.
  • Segítség a szabályozási megfeleléshez (pl. GDPR, ISO 27001, PCI-DSS).


🧠 Hogyan működik az IDS?

Az IDS egy adott rendszer vagy hálózat forgalmát figyeli, és azt összehasonlítja előre definiált szabályokkal, mintákkal vagy viselkedési normákkal.

Működési folyamat:

  1. Adatgyűjtés – csomagok elfogása, rendszeresemények olvasása.
  2. Előfeldolgozás – dekódolás, normalizálás, értelmezés.
  3. Elemzés – a forgalmat összeveti:
    • szignatúrákkal (ismert támadásminták)
    • viselkedési profilokkal (anomáliák)
  4. Riasztás generálása – e-mail, log, SIEM integráció.
  5. Naplózás és riport – a támadások utólagos elemzéséhez.


🧱 IDS típusai

1. Network-based IDS (NIDS)

  • A hálózati forgalmat elemzi (pl. switch után tükrözött porton).
  • Teljes forgalmat vizsgál: protokollokat, csomagokat, header-tartalmakat.
  • Példa: Snort, Suricata

2. Host-based IDS (HIDS)

  • Egy adott számítógépen vagy szerveren fut.
  • Monitorozza a fájlrendszert, registry-t, rendszerhívásokat, naplófájlokat.
  • Példa: OSSEC, Tripwire

3. Hybrid IDS

  • Kombinálja a hálózati és host-alapú monitorozást.
  • Képessé válik teljeskörű lefedettség biztosítására.

4. Wireless IDS

  • Kifejezetten Wi-Fi forgalom figyelésére szolgál.
  • Észleli a rogue AP-ket, gyenge titkosítást, jelszó brute-force-okat.


🔍 Elemzési módszerek

Módszer Leírás
Signature-based Előre ismert támadások mintáit (szignatúráit) használja. Gyors, de nem ismer fel új típusú támadást.
Anomaly-based A normál forgalomhoz képest eltérést keres. Ismeretlen támadásokra is érzékeny, de sok a hamis pozitív.
Stateful protocol analysis A protokoll működését figyeli, és eltéréseket keres a szabványtól.


🛡️ Milyen támadásokat ismer fel az IDS?

  • Port scan (nmap, masscan)
  • Brute-force login kísérletek
  • Exploit próbálkozások (SQLi, XSS)
  • DoS/DDoS előjelei
  • Malware kommunikáció (C2 serverhez csatlakozás)
  • File-integritás megsértése (HIDS esetén)


📊 IDS vs IPS

Tulajdonság IDS IPS
Működés Észlelés Észlelés + Megelőzés
Beavatkozás Passzív Aktív
Kockázat Nincs forgalmi megszakítás Lehet hamis pozitív miatti blokkolás
Hely Hálózat “mellett” Hálózat “útvonalában”


🧰 Népszerű IDS megoldások

Megoldás Típus Jellemző
Snort NIDS Nyílt forráskódú, széles körben használt
Suricata NIDS Multithreaded, nagy teljesítményű
Zeek (Bro) NIDS Protokoll-elemzésre optimalizált
OSSEC HIDS Fájlfigyelés, naplóelemzés
Wazuh HIDS + SIEM OSSEC továbbfejlesztése, grafikus kezelőfelülettel


🧩 IDS és a SIEM

Az IDS önmagában is hasznos, de még erőteljesebb, ha SIEM rendszerhez kapcsoljuk:

  • Centralizált naplógyűjtés
  • Kereszt-elemzés több forrásból
  • Automatikus eseménykorreláció
  • Riasztások finomhangolása

Példák: Splunk, ELK stack (Elastic), IBM QRadar, ArcSight


✅ IDS előnyei

  • Valós idejű riasztás – gyors beavatkozás lehetősége.
  • Biztonsági naplózás – visszakereshetők az események.
  • Szabályozási megfelelés támogatása – GDPR, ISO27001 stb.
  • Támadási minták tanulmányozása – threat intelligence.


⚠️ IDS kihívások

Kihívás Magyarázat
Hamis pozitív riasztások Ártalmatlan forgalom is támadásnak tűnhet.
Nagy mennyiségű adat Folyamatos elemzést igényel, erőforrás-igényes.
Késleltetés Nem tud azonnal megakadályozni támadást, csak jelez.
Karakteres hibák / elkerülési technikák Támadók próbálják kikerülni az IDS észlelését.


📚 Best practice – hogyan használjunk IDS-t hatékonyan?

  1. Szignatúrák naprakészen tartása – folyamatos frissítés.
  2. Rendszeres false positive elemzés – riasztások szűkítése.
  3. Riasztási küszöbértékek beállítása – csak fontos események jelzése.
  4. SIEM integráció – központi kezelhetőség.
  5. Események auditálása – rendszeres biztonsági ellenőrzések.


🧠 Összefoglalás

Fogalom Jelentés
IDS Behatolásérzékelő rendszer, amely gyanús tevékenységet figyel és jelez
Funkció Figyelés, riasztás, naplózás
Típusai NIDS, HIDS, hibrid, wireless
Elemzési módszerek Szignatúra, anomália, protokollelemzés
Hasznos kiegészítés SIEM integráció, forensics támogatás
Nehézségek Hamis riasztások, karbantartás, nem állít meg támadást


Az IDS a hálózat “szeme” és “füle”, amely segít az adminisztrátoroknak és biztonsági szakembereknek időben észlelni és reagálni a potenciális támadásokra.


További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=intrusion_detection_system&oldid=3504130