IDS là gì ? Hệ thống phát hiện xâm nhập (IDS ) là một hệ thống giám sát lưu lượng mạng cho hoạt động đáng ngờ và đưa ra cảnh báo khi phát hiện ra hoạt động đó. Mặc dù phát hiện và báo cáo bất thường là chức năng chính, một số hệ thống phát hiện xâm nhập có khả năng thực hiện các hành động khi phát hiện hoạt động độc hại hoặc lưu lượng truy cập bất thường, bao gồm chặn lưu lượng được gửi từ các địa chỉ IP đáng ngờ .
Mặc dù các hệ thống phát hiện xâm nhập giám sát các mạng về hoạt động nguy hiểm tiềm tàng, chúng cũng dễ bị báo động sai. Do đó, các tổ chức cần tinh chỉnh các sản phẩm IDS của họ khi lần đầu tiên cài đặt chúng. Điều đó có nghĩa là cấu hình đúng hệ thống phát hiện xâm nhập của họ để nhận ra lưu lượng truy cập bình thường trên mạng của họ trông như thế nào so với hoạt động độc hại tiềm ẩn.
[external_link_head]
Một hệ thống ngăn chặn xâm nhập (IPS) cũng giám sát các gói mạng để có khả năng làm hỏng lưu lượng mạng. Nhưng khi hệ thống phát hiện xâm nhập phản ứng với lưu lượng độc hại tiềm tàng bằng cách ghi nhật ký lưu lượng và đưa ra thông báo cảnh báo, hệ thống ngăn chặn xâm nhập sẽ phản ứng với lưu lượng đó bằng cách từ chối các gói độc hại tiềm ẩn.
IDS là gì? Các loại hệ thống phát hiện xâm nhập khác nhau
Các hệ thống phát hiện xâm nhập có nhiều mùi vị khác nhau và phát hiện các hoạt động đáng ngờ bằng các phương pháp khác nhau:
- Hệ thống phát hiện xâm nhập mạng (NIDS) được triển khai tại một điểm hoặc điểm chiến lược trong mạng, nơi nó có thể giám sát lưu lượng truy cập trong và ngoài nước đến và từ tất cả các thiết bị trên mạng.
- Hệ thống phát hiện xâm nhập máy chủ (HIDS) chạy trên tất cả các máy tính hoặc thiết bị trong mạng có quyền truy cập trực tiếp vào cả internet và mạng nội bộ doanh nghiệp. HIDS có lợi thế hơn NIDS ở chỗ họ có thể phát hiện các gói mạng bất thường bắt nguồn từ bên trong tổ chức hoặc lưu lượng độc hại mà NIDS đã không phát hiện được. HIDS cũng có thể xác định lưu lượng độc hại bắt nguồn từ chính máy chủ, như khi máy chủ bị nhiễm phần mềm độc hại và đang cố gắng lây lan sang các hệ thống khác.
- Các hệ thống phát hiện xâm nhập dựa trên chữ ký giám sát tất cả các gói đi qua mạng và so sánh chúng với cơ sở dữ liệu chữ ký hoặc thuộc tính của các mối đe dọa độc hại đã biết, giống như phần mềm chống vi-rút .
- Các hệ thống phát hiện xâm nhập dựa trên sự bất thường giám sát lưu lượng mạng và so sánh nó với đường cơ sở đã thiết lập, để xác định những gì được coi là bình thường đối với mạng liên quan đến băng thông, giao thức, cổng và các thiết bị khác. Loại IDS này cảnh báo cho quản trị viên về hoạt động độc hại tiềm ẩn.
Lịch sử IDS
Trong lịch sử, các hệ thống phát hiện xâm nhập được phân loại là thụ động hoặc chủ động; IDS thụ động phát hiện hoạt động độc hại sẽ tạo ra các mục cảnh báo hoặc nhật ký, nhưng sẽ không có hành động. IDS hoạt động, đôi khi được gọi là hệ thống phát hiện và ngăn chặn xâm nhập, sẽ tạo cảnh báo và ghi nhật ký, nhưng cũng có thể được cấu hình để thực hiện các hành động, như chặn địa chỉ IP hoặc tắt quyền truy cập vào tài nguyên bị hạn chế.
[external_link offset=1]
Snort một trong những hệ thống phát hiện xâm nhập được sử dụng rộng rãi nhất là một NIDS mã nguồn mở, có sẵn miễn phí và được sử dụng để phát hiện các mối đe dọa mới nổi. Snort có thể được biên dịch trên hầu hết các hệ điều hành Unix hoặc Linux và phiên bản cũng có sẵn cho Windows.
Khả năng của hệ thống phát hiện xâm nhập
Các hệ thống phát hiện xâm nhập giám sát lưu lượng mạng để phát hiện khi một thực thể trái phép được thực hiện. IDS làm điều này bằng cách cung cấp một số hoặc tất cả các chức năng này cho các chuyên gia bảo mật:
- giám sát hoạt động của các bộ định tuyến, tường lửa, máy chủ quản lý khóa và các tệp cần thiết bởi các kiểm soát bảo mật khác nhằm phát hiện, ngăn chặn hoặc khôi phục từ các cuộc tấn công mạng;
- cung cấp cho quản trị viên một cách để điều chỉnh, sắp xếp và hiểu các bản kiểm toán hệ điều hành có liên quan và các nhật ký khác thường khó theo dõi hoặc phân tích;
- cung cấp giao diện thân thiện với người dùng để các nhân viên không phải là chuyên gia có thể hỗ trợ quản lý bảo mật hệ thống;
- bao gồm một cơ sở dữ liệu chữ ký tấn công mở rộng mà thông tin từ hệ thống có thể được khớp với;
- nhận biết và báo cáo khi IDS phát hiện các tệp dữ liệu đã bị thay đổi;
- tạo ra một báo động và thông báo rằng an ninh đã bị vi phạm; và
- phản ứng với những kẻ xâm nhập bằng cách chặn chúng hoặc chặn máy chủ.
Một hệ thống phát hiện xâm nhập có thể được triển khai như một ứng dụng phần mềm chạy trên phần cứng của khách hàng hoặc như một thiết bị bảo mật mạng ; hệ thống phát hiện xâm nhập dựa trên đám mây cũng có sẵn để bảo vệ dữ liệu và hệ thống trong triển khai đám mây.
Lợi ích của hệ thống phát hiện xâm nhập
Các hệ thống phát hiện xâm nhập cung cấp cho các tổ chức một số lợi ích, bắt đầu bằng khả năng xác định các sự cố bảo mật. IDS có thể được sử dụng để giúp phân tích số lượng và loại tấn công và các tổ chức có thể sử dụng thông tin này để thay đổi hệ thống bảo mật của họ hoặc thực hiện các biện pháp kiểm soát hiệu quả hơn. Một hệ thống phát hiện xâm nhập cũng có thể giúp các công ty xác định lỗi hoặc sự cố với cấu hình thiết bị mạng của họ. Những số liệu này sau đó có thể được sử dụng để đánh giá rủi ro trong tương lai.
Hệ thống phát hiện xâm nhập cũng có thể giúp doanh nghiệp đạt được sự tuân thủ quy định. IDS cung cấp cho các công ty khả năng hiển thị lớn hơn trên các mạng của họ, giúp đáp ứng các quy định bảo mật dễ dàng hơn. Ngoài ra, các doanh nghiệp có thể sử dụng nhật ký IDS của họ như một phần của tài liệu để cho thấy họ đang đáp ứng các yêu cầu tuân thủ nhất định.
Hệ thống phát hiện xâm nhập cũng có thể cải thiện phản ứng bảo mật. Vì các cảm biến IDS có thể phát hiện các thiết bị và máy chủ mạng, chúng cũng có thể được sử dụng để kiểm tra dữ liệu trong các gói mạng, cũng như xác định hệ điều hành của các dịch vụ đang được sử dụng. Sử dụng IDS để thu thập thông tin này có thể hiệu quả hơn nhiều so với các cuộc điều tra thủ công của các hệ thống được kết nối.
IDS so với IPS
Hệ thống ngăn chặn xâm nhập (IPS) tương tự như hệ thống phát hiện xâm nhập, nhưng khác ở chỗ IPS có thể được cấu hình để chặn các mối đe dọa tiềm ẩn. Giống như các hệ thống phát hiện xâm nhập, IPS có thể được sử dụng để giám sát, ghi nhật ký và báo cáo các hoạt động, nhưng nó cũng có thể được cấu hình để ngăn chặn các mối đe dọa mà không cần sự tham gia của quản trị viên hệ thống. Tuy nhiên, các tổ chức nên cẩn thận với IPS vì họ cũng có thể từ chối lưu lượng hợp pháp nếu không được điều chỉnh chính xác.
Doanh nghiệp nhận được lợi ích gì từ việc sử dụng các hệ thống phát hiện xâm nhập?
IDS nhằm phân tích toàn bộ các gói – tiêu đề và tải trọng – tìm kiếm các sự kiện đã biết. Khi phát hiện một sự kiện đã biết, hệ thống sẽ tạo một thông điệp tường trình chi tiết về sự kiện đó. IDS so sánh lưu lượng truy cập trong nước với cơ sở dữ liệu về các chữ ký tấn công đã biết và báo cáo bất kỳ cuộc tấn công nào mà nó phát hiện. IDS cảnh báo về hoạt động đáng ngờ đang diễn ra, nhưng điều đó không ngăn cản họ cũng như IPS. Lỗ hổng lớn của IDS là nó có thể tạo ra dương tính giả.
[external_link offset=2]
Một hệ thống ngăn chặn xâm nhập thường được đặt giữa tường lửa của công ty và phần còn lại của mạng và có thể ngăn chặn bất kỳ lưu lượng truy cập đáng ngờ nào đến phần còn lại của mạng.
Hệ thống ngăn chặn xâm nhập thực hiện các phản ứng đối với các cuộc tấn công hoạt động trong thời gian thực. Do các quản trị viên hệ thống cấu trúc các quy tắc trong IPS nhằm giải quyết các nhu cầu của doanh nghiệp, hệ thống có thể giám sát và đánh giá các mối đe dọa, cũng như hành động trong thời gian thực để ngăn chặn các mối đe dọa ngay lập tức. IPS tích cực bắt những kẻ xâm nhập mà tường lửa hoặc phần mềm chống vi-rút có thể bỏ lỡ.
Trên đây là những thông tin cơ bản về IDS là gì. Mong rằng qua bài viết này, các bạn đã có thể nắm được những thông tin về IDS để triển khai cho hệ thống của mình.
Nguồn:https://searchsecurity.techtarget.com/definition/intrusion-detection-system[external_footer]