Wprowadzenie
Intrusion Detection System (IDS) to narzędzie lub system oprogramowania/hardware, który monitoruje ruch sieciowy, aktywność systemów lub zachowanie użytkowników w celu wykrywania podejrzanych działań, ataków oraz anomalii.
Główne rodzaje IDS
- NIDS (Network-based IDS) – monitoruje ruch sieciowy
- HIDS (Host-based IDS) – monitoruje pojedynczy serwer lub endpoint
- Signature-based Detection – wykrywa znane wzorce ataków (jak antywirus)
- Anomaly-based Detection – uczy się normalnego zachowania i alarmuje przy odchyleniach
- AI-powered / ML-based IDS – wykorzystuje modele uczenia maszynowego do wykrywania zagrożeń zero-day
IDS w środowisku AI i chmurze
W kontekście sztucznej inteligencji IDS chroni:
- Infrastrukturę inferencji LLM (vLLM, TensorRT)
- Ataki na API modeli (prompt injection, model extraction)
- Wycieki danych treningowych
- Ataki na Kubernetes i kontenery AI
- Anomalie w zachowaniu agentów AI
IDS vs IPS
IDS tylko wykrywa i alarmuje, natomiast IPS (Intrusion Prevention System) aktywnie blokuje zagrożenia. Współcześnie najczęściej spotyka się hybrydowe rozwiązania NIDS/NIPS.
Najpopularniejsze rozwiązania (2026)
- Suricata, Snort, Zeek (Bro)
- Falco (runtime security dla kontenerów i Kubernetes)
- OSSEC, Wazuh (open-source HIDS)
- Cloud-native: AWS GuardDuty, Azure Sentinel, Google Security Command Center
- SIEM + XDR: Splunk, Elastic Security, Microsoft Sentinel
Powiązane pojęcia
Intrusion Prevention System (IPS) • SIEM • SOAR • Anomaly Detection • Threat Intelligence • Zero Trust • WAF • AI Red Teaming • Security Monitoring • Falco • Suricata