Một hệ thống phát hiện xâm nhập (IDS) giám sát lưu lượng mạng và giám sát hoạt động đáng ngờ và cảnh báo cho người quản trị hệ thống hoặc mạng. Trong một số trường hợp, IDS cũng có thể phản hồi lưu lượng truy cập bất thường hoặc độc hại bằng cách thực hiện hành động như chặn người dùng hoặc địa chỉ IP nguồn truy cập vào mạng.
IDS có nhiều “hương vị” khác nhau và tiếp cận mục tiêu phát hiện lưu lượng đáng ngờ theo nhiều cách khác nhau. Có các hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) và dựa trên máy chủ (HIDS). Có IDS phát hiện dựa trên việc tìm kiếm các chữ ký cụ thể của các mối đe dọa đã biết - tương tự như cách phần mềm chống vi-rút thường phát hiện và bảo vệ khỏi phần mềm độc hại và có IDS phát hiện dựa trên so sánh các mẫu lưu lượng truy cập với đường cơ sở và tìm kiếm bất thường. Có IDS chỉ đơn giản là theo dõi và cảnh báo và có IDS thực hiện một hành động hoặc hành động để đối phó với một mối đe dọa phát hiện. Chúng tôi sẽ đề cập đến từng phần trong một thời gian ngắn.
NIDS
Hệ thống phát hiện xâm nhập mạng được đặt tại một điểm chiến lược hoặc các điểm trong mạng để theo dõi lưu lượng truy cập đến và đi từ tất cả các thiết bị trên mạng. Lý tưởng nhất, bạn sẽ quét tất cả lưu lượng vào và ra, tuy nhiên làm như vậy có thể tạo ra một nút cổ chai có thể làm giảm tốc độ tổng thể của mạng.
HIDS
Hệ thống phát hiện xâm nhập máy chủ được chạy trên các máy chủ hoặc thiết bị riêng lẻ trên mạng. Một HIDS giám sát các gói gửi đến và gửi đi từ thiết bị và sẽ cảnh báo người dùng hoặc quản trị viên của hoạt động đáng ngờ được phát hiện
Dựa trên chữ ký
Một IDS dựa trên chữ ký sẽ giám sát các gói dữ liệu trên mạng và so sánh chúng với một cơ sở dữ liệu chữ ký hoặc thuộc tính từ các mối đe dọa độc hại đã biết. Điều này tương tự như cách phần lớn phần mềm chống vi-rút phát hiện phần mềm độc hại. Vấn đề là sẽ có một sự chậm trễ giữa một mối đe dọa mới được phát hiện trong tự nhiên và chữ ký để phát hiện mối đe dọa đang được áp dụng cho IDS của bạn. Trong thời gian trễ đó, IDS của bạn sẽ không thể phát hiện ra mối đe dọa mới.
Anomaly Based
Một IDS dựa trên bất thường sẽ giám sát lưu lượng mạng và so sánh nó với một đường cơ sở đã thiết lập. Đường cơ sở sẽ xác định "bình thường" cho mạng đó - loại băng thông nào thường được sử dụng, giao thức nào được sử dụng, cổng và thiết bị nào thường kết nối với nhau và cảnh báo cho quản trị viên hoặc người dùng khi phát hiện giao thông bất thường, hoặc khác biệt đáng kể so với đường cơ sở.
ID thụ động
ID thụ động chỉ phát hiện và cảnh báo. Khi lưu lượng truy cập đáng ngờ hoặc độc hại được phát hiện, một cảnh báo sẽ được tạo và gửi tới quản trị viên hoặc người dùng và việc họ thực hiện hành động để chặn hoạt động hoặc phản hồi theo một cách nào đó là tùy thuộc vào họ.
ID phản ứng
ID phản ứng sẽ không chỉ phát hiện lưu lượng truy cập đáng ngờ hoặc độc hại và cảnh báo cho quản trị viên mà sẽ thực hiện các hành động chủ động được xác định trước để đối phó với mối đe dọa. Thông thường, điều này có nghĩa là chặn bất kỳ lưu lượng truy cập mạng nào khác từ địa chỉ IP nguồn hoặc người dùng.
Một trong những hệ thống phát hiện xâm nhập nổi tiếng và được sử dụng rộng rãi nhất là Snort tự do, nguồn mở có sẵn. Nó có sẵn cho một số nền tảng và hệ điều hành bao gồm cả Linux và Windows . Snort có lượng người theo dõi lớn và trung thành và có nhiều tài nguyên sẵn có trên Internet, nơi bạn có thể có được chữ ký để thực hiện để phát hiện các mối đe dọa mới nhất. Đối với các ứng dụng phát hiện xâm nhập phần mềm miễn phí khác, bạn có thể truy cập Phần mềm phát hiện xâm nhập miễn phí .
Có một đường thẳng giữa tường lửa và IDS. Ngoài ra còn có một công nghệ được gọi là IPS - Hệ thống phòng chống xâm nhập . Một IPS thực chất là một bức tường lửa kết hợp mức mạng và mức ứng dụng lọc với một ID phản ứng để chủ động bảo vệ mạng. Dường như thời gian trôi qua trên tường lửa, IDS và IPS chiếm nhiều thuộc tính hơn từ nhau và làm mờ dòng hơn nữa.
Về cơ bản, tường lửa của bạn là hàng rào phòng thủ đầu tiên của bạn. Các phương pháp hay nhất khuyên bạn nên định cấu hình tường lửa của mình để TỪ CHỐI tất cả lưu lượng truy cập đến và sau đó bạn mở lỗ khi cần thiết. Bạn có thể cần phải mở cổng 80 để lưu trữ các trang web hoặc cổng 21 để lưu trữ một máy chủ tệp FTP . Mỗi lỗ hổng này có thể cần thiết từ một quan điểm, nhưng chúng cũng đại diện cho các vectơ có thể cho lưu lượng truy cập độc hại xâm nhập vào mạng của bạn thay vì bị chặn bởi tường lửa.
Cho dù bạn triển khai NIDS trên toàn bộ mạng hoặc HIDS trên thiết bị cụ thể của mình, IDS sẽ giám sát lưu lượng vào và ra và xác định lưu lượng đáng ngờ hoặc độc hại có thể bằng cách nào đó bỏ qua tường lửa của bạn hoặc có thể có nguồn gốc từ bên trong mạng của bạn.
IDS có thể là một công cụ tuyệt vời để chủ động giám sát và bảo vệ mạng của bạn khỏi hoạt động độc hại, tuy nhiên, chúng cũng dễ bị báo động sai. Chỉ với bất kỳ giải pháp IDS nào bạn thực hiện, bạn sẽ cần phải "điều chỉnh nó" khi nó được cài đặt lần đầu tiên. Bạn cần IDS được định cấu hình đúng để nhận biết lưu lượng truy cập bình thường trên mạng của bạn so với lưu lượng truy cập độc hại và quản trị viên chịu trách nhiệm phản hồi cảnh báo IDS là gì, cần hiểu ý nghĩa của cảnh báo và cách phản hồi hiệu quả.