Intrusion Detection System (IDS) oraz Intrusion Prevention System (IPS) to kluczowe elementy architektury bezpieczeństwa sieci, które analizują ruch w czasie rzeczywistym, wykrywają ataki i – w przypadku IPS – aktywnie je blokują. Wszyscy przyzwyczailiśmy się do tych mechanizmów bezpieczeństwa i skupiamy się na dobraniu odpowiedniej funkcjonalności do ochrony naszej sieci. Ale czy myśleliście skąd wzięły się IPS-y i jaka jest ich historia? W tym artykule skupimy się właśnie na historii.

Fundamenty współczesnych systemów IDS/IPS położył James Anderson w 1980 roku, przygotowując dla Agencji Bezpieczeństwa Narodowego (NSA) raport o zestawie narzędzi pomagających administratorom przeglądać logi audytu. W tamtym okresie audyt zaczął być wprowadzany do systemów finansowych, aby wykrywać błędy i oszustwa. Na początku lat 80-tych Dorothy Denning opisała model wykrywania włamań oparty o analizę zapisów audytowych i odchylenia od profilu normalnych zachowań użytkowników i systemu. Przełomowym momentem były lata 1984-1986, gdy wraz Peterem Neumannem opracowała pierwszy model systemu wykrywania włamań. Ich prototyp, Intrusion Detection Expert System (IDES), działał na stacjach roboczych Sun i wykorzystywał podwójne podejście: system ekspertowy oparty na regułach do wykrywania znanych typów włamań oraz komponent wykrywania anomalii statystycznych bazujący na profilach użytkowników, systemów hostów i systemów docelowych. Model IDES opierał się na hipotezie, że wzorce zachowań intruza różnią się na tyle od legalnego użytkownika, że można je wykryć poprzez analizę statystyk użytkowania. 

To nie był oczywiście jedyny projekt. W tym samym okresie powstały inne prototypy. W 1988 roku opracowano Multics Intrusion Detection and Alerting System (MIDAS), wykorzystujący system ekspertowy w P-BEST i Lisp. Haystack, również z 1988 roku, używał statystyk do redukcji logów audytu. W 1989 roku w Los Alamos National Laboratory stworzono Wisdom & Sense (W&S), który tworzył reguły na podstawie analizy statystycznej, a następnie używał ich do wykrywania anomalii.

W latach 90. pojawiły się pierwsze praktyczne, wysokowydajne NIDS, m.in. Bro autorstwa Verna Paxsona, zaprojektowany do pasywnego monitoringu w czasie rzeczywistym, z wyraźnym rozdzieleniem mechanizmu i polityki oraz możliwością pisania złożonych skryptów analitycznych; dziś projekt ten znamy jako Zeek i jest nadal rozwijany.

W połowie lat 90. nastąpiła komercjalizacja technologii IDS. W 1995 roku powstała firma Wheelgroup, która skomercjalizowała prototyp Netranger opracowany przez Siły Powietrzne USA. Produkt skanował ruch w poszukiwaniu „sygnatur nadużyć” i dostarczał alarmy w czasie rzeczywistym. W lutym 1998 Cisco przejęło Wheelgroup, czyniąc z niego integralną część swojej architektury bezpieczeństwa. W 1998 r. Martin Roesch udostępnił Snorta jako lekki NIDS oparty o reguły i dopasowanie wzorców, który szybko stał się standardem de facto; Snort z czasem ewoluował w pełnoprawny IPS i jest rozwijany przez Cisco. Na przełomie dekad pojawiło się Suricata, od początku z wielowątkowością, rozpoznawaniem protokołów niezależnie od portów i zgodnością języka reguł ze Snortem, co przyspieszyło adopcję w środowiskach o wysokiej przepustowości.

Kluczowym kamieniem milowym dla dojrzałości branży był przewodnik NIST SP 800-94, który uporządkował typy IDPS, metody detekcji i wzorce wdrożeń w przedsiębiorstwie; to do dziś najczęściej cytowana rama odniesienia. Spowodowało to, że na początku XXI wieku IDS stał się standardem bezpieczeństwa. Wcześniej firewalle były bardzo skuteczne w walce z zagrożeniami lat 90., przetwarzając ruch szybko bez „głębokiej inspekcji pakietów” reagowały jedynie na podstawie portu, protokołu lub adresu IP. Jednak pojawienie się nowych zagrożeń jak SQL injection i cross-site scripting (XSS) w początkach lat 2000 oznaczało, że ataki te przechodziły przez firewalle bez problemu. W tym okresie większość organizacji używała IDS zamiast IPS, obawiając się, że IPS może zablokować niegroźny, ale anomalny ruch pochodzący od potencjalnych klientów. IDS działał poza strumieniem ruchu, analizując jedynie jego kopię. Gdy wykrywał potencjalnie złośliwy ruch, wysyłał alert do administratora, który decydował o dalszych krokach. Vendorzy systemów IDS chwalili się liczbą sygnatur w swoich bazach. Sygnatury były pisane do wykrywania exploitów, a nie podatności. Dla każdej podatności mogło istnieć ponad 100 różnych exploitów, co zmuszało vendorów do pisania odpowiedniej liczby sygnatur.

Od drugiej połowy 2005 roku rozpoczął się wzrost popularności IPS. Ponieważ IPS działa inline, producenci zmienili podejście – zamiast tworzyć wiele sygnatur dla exploitów, zaczęli tworzyć jedną sygnaturę dla każdej podatności, niezależnie od liczby powiązanych z nią exploitów. Odkryto, że IPS lub IDS z ponad 3500 sygnaturami może obniżać wydajność. W latach 2006-2010 firmy zajmujące się IDS/IPS zwiększyły konkurencję, podnosząc przepustowość IPS z 1-2 Gbps do 5 Gbps, co umożliwiało monitorowanie większej liczby segmentowanych sieci, DMZ i farm webowych. Lata 2011-2015 były punktem zwrotnym dla producentów rozwiązań IDS/IPS, którzy zaczęli tworzyć systemy Next Generation Intrusion Prevention Systems (NGIPS). NGIPS oferowały zaawansowane funkcje wykrywania zagrożeń i automatyzację, wykorzystując inteligencję zagrożeń i kontekst środowiska sieciowego. Cisco przejęło Sourcefire w 2013 roku, integrując technologię IDS/IPS ze swoimi rozwiązaniami Next-Generation Firewall.

Od 2021 roku systemy IDS/IPS ewoluują w kierunku rozwiązań Network Detection and Response (NDR) wykorzystujących machine learning, sztuczną inteligencję i automatyzację. Nowoczesne systemy wykorzystują także Extended Detection and Response (XDR), integrując telemetrię z wielu źródeł bezpieczeństwa. Współczesne IPS wykorzystują deep learning do wykrywania zaawansowanych i wymijających zagrożeń bez polegania na sygnaturach. Modele deep learning analizują aktywność ruchu sieciowego z niespotykaną dokładnością, identyfikując nieznany złośliwy ruch inline z niewielką liczbą fałszywych alarmów.