Hệ thống phát hiện xâm nhập (IDS) là một ứng dụng hoặc thiết bị giám sát lưu lượng mạng đến và đi, liên tục phân tích các sự kiện để tìm các thay đổi trong mẫu và cảnh báo cho quản trị viên khi xác định được hành vi bất thường. Quản trị viên có thể xem xét các cảnh báo và thực hiện các hành động để xóa mối đe dọa.
Ví dụ:IDS có thể kiểm tra dữ liệu do lưu lượng mạng mang theo để xem nó có bao gồm phần mềm độc hại đã biết hoặc nội dung độc hại khác hay không. Nếu có thể xác định được loại mối đe dọa này, nó sẽ gửi cảnh báo đến nhóm bảo mật để họ có thể điều tra và khắc phục. Bởi vì nhóm của bạn nhận được cảnh báo, họ phải hành động nhanh chóng để tránh bị tấn công chiếm lấy hệ thống.
Trong Hệ thống phát hiện xâm nhập dựa trên mạng (NIDS), các cảm biến được đặt tại các điểm nghẹt trong mạng để theo dõi, thường là trong Khu phi quân sự (DMZ) hoặc tại các biên giới mạng. Cảm biến nắm bắt một số lưu lượng mạng và phân tích nội dung của các gói độc quyền để tìm lưu lượng độc hại.
Trong hệ thống, PIDS và APIDS được sử dụng để giám sát quá trình truyền tải và giao thức lưu lượng hoặc cấu trúc ngôn ngữ bất hợp pháp hoặc không phù hợp (ví dụ như SQL). Trong hệ thống dựa trên máy chủ, cảm biến thường bao gồm một tác nhân phần mềm, tác nhân này giám sát một số hoạt động của máy chủ mà nó được cài đặt trên đó. Các phép lai của hai hệ thống này cũng xảy ra.
-
Hệ thống phát hiện xâm nhập mạng là một nền tảng độc lập xác định các xâm nhập bằng cách xác định lưu lượng mạng và giám sát một số máy chủ. Hệ thống phát hiện xâm nhập mạng có quyền truy cập vào lưu lượng mạng bằng cách liên kết với một trung tâm, công tắc mạng được định cấu hình để phản chiếu cổng hoặc chạm mạng. Một bản sao của NIDSis Snort.
-
Hệ thống phát hiện xâm nhập dựa trên giao thức (PIDS) bao gồm một hệ thống hoặc tác nhân thường có thể nằm ở đầu phía trước của máy chủ, giám sát và phân tích giao thức thông tin giữa một thiết bị được kết nối (người dùng / PC hoặc hệ thống).
Đối với máy chủ web, điều này thường có thể giám sát luồng giao thức HTTPS và hiểu giao thức HTTP tương ứng với máy chủ web mà nó đang cố gắng bảo vệ trên cùng. Khi HTTPS được sử dụng thì hệ thống này sẽ được yêu cầu phải nằm trong “miếng dán” hoặc giao diện giữa nơi HTTPS không được mã hóa và trực tiếp trước khi nó qua lớp trình bày Web.
-
Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng (APIDS) bao gồm hệ thống hoặc tác nhân thường có thể nằm trong một tập hợp các máy chủ, giám sát và phân tích thông tin liên lạc trên các giao thức ứng dụng cụ thể. Trong máy chủ web có cơ sở dữ liệu, điều này có thể giám sát giao thức SQL cụ thể cho phần mềm trung gian / kinh doanh mà nó thực hiện với cơ sở dữ liệu.
-
Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) bao gồm một tác nhân trên máy chủ xác định rõ các hành vi xâm nhập bằng cách phân tích các lệnh gọi hệ thống, nhật ký phần mềm, sửa đổi hệ thống tệp (tệp nhị phân, tệp mật khẩu, cơ sở dữ liệu khả năng) và nhiều trạng thái và hoạt động máy chủ. Một phiên bản của HIDS là OSSEC.
-
Một hệ thống phát hiện xâm nhập hỗn hợp kết hợp nhiều cách tiếp cận. Dữ liệu tác nhân máy chủ được kết hợp với dữ liệu mạng để tạo thành một cái nhìn toàn diện về mạng. Một phiên bản của IDS kết hợp là Prelude.