Hệ thống phát hiện xâm nhập (IDS) là phần mềm được phát triển đặc biệt để giám sát lưu lượng mạng và tìm ra các điểm bất thường. IDS được thiết kế để phát hiện lưu lượng mạng và khớp thiết kế lưu lượng với các cuộc tấn công đã biết. Thông qua phương pháp này, đôi khi được gọi là tương quan mẫu, hệ thống ngăn chặn xâm nhập có thể xác định xem sự kiện bất thường có phải là một cuộc tấn công mạng hay không.
Bởi vì hoạt động đáng ngờ hoặc độc hại được phát hiện, một hệ thống phát hiện xâm nhập sẽ gửi báo động đến các kỹ thuật viên hoặc quản trị viên CNTT được chỉ định. Cảnh báo IDS cho phép chúng tôi nhanh chóng bắt đầu khắc phục sự cố và xác định nguồn gốc của sự cố hoặc phát hiện và ngăn chặn các tác nhân có hại trong quá trình theo dõi của chúng.
Công nghệ Hệ thống Phát hiện Xâm nhập (IDS) là một yếu tố cần thiết trong việc thiết kế một môi trường an toàn. Nó là một cách tiếp cận của hệ thống quản lý bảo mật cho máy tính và mạng. IDS tập hợp và phân tích thông tin từ nhiều khu vực trong máy tính hoặc mạng để nhận ra các vi phạm bảo mật có thể xảy ra, bao gồm cả xâm nhập và sử dụng sai mục đích.
Nó là phần mềm và phần cứng được thiết kế để xác định những nỗ lực không mong muốn nhằm truy cập, thao tác và vô hiệu hóa hệ thống máy tính, nói chung là thông qua mạng, bao gồm cả Internet. Những nỗ lực này có thể dưới dạng tấn công, chẳng hạn như do bẻ khóa, phần mềm độc hại và nhân viên bất mãn.
Hệ thống phát hiện xâm nhập được sử dụng để xác định nhiều loại hành vi độc hại có thể thỏa thuận mức độ bảo mật và tin cậy của hệ thống máy tính. Điều này liên quan đến các cuộc tấn công mạng chống lại các dịch vụ dễ bị tấn công, các cuộc tấn công theo hướng dữ liệu vào các ứng dụng, các cuộc tấn công dựa trên máy chủ bao gồm báo cáo đặc quyền, đăng nhập trái phép và truy cập vào thông tin nhạy cảm và phần mềm độc hại (vi rút, trojan và sâu).
Một IDS có thể bao gồm nhiều thành phần như cảm biến tạo ra các sự kiện bảo mật, Bảng điều khiển để theo dõi các sự kiện và cảnh báo cũng như điều khiển các cảm biến và Công cụ trung tâm ghi lại các sự kiện dữ liệu được cảm biến ghi lại trong cơ sở dữ liệu và cần một hệ thống quy tắc để tạo ra cảnh báo từ các sự kiện bảo mật đã nhận được.
Có nhiều phương pháp khác nhau để phân loại IDS tùy thuộc vào loại và khu vực của cảm biến và các phương pháp tiếp cận được động cơ sử dụng để đưa ra cảnh báo. Mặc dù có nhiều loại IDS khác nhau, nhưng các loại công việc chung đều giống nhau. Họ phân tích lưu lượng mạng và tệp nhật ký cho các thiết kế cụ thể.
Quản trị viên có thể xem liệu nó có thể kiểm tra nhật ký truy cập của tường lửa hay không, nhưng đó có thể là vài tuần hoặc thậm chí vài tháng sau cuộc tấn công. Đây là nơi một IDS xuất hiện. Các nỗ lực di chuyển qua tường lửa được ghi lại và IDS sẽ đánh giá nhật ký của nó. Tại một thời điểm nào đó trong nhật ký sẽ có nhiều mục từ chối yêu cầu.
IDS sẽ gắn cờ các sự kiện và cảnh báo cho ban quản lý. Quản trị viên có thể thấy những gì đang xuất hiện ngay sau hoặc ngay cả khi các cuộc tấn công đang diễn ra. Điều này mang lại cho quản trị viên lợi ích khi có thể phân tích các phương pháp đang được sử dụng, nguồn tấn công và các phương pháp tiếp cận mà tin tặc sử dụng.