Hệ thống IDS/IPS hoạt động theo kiểu nhận dạng mẫu gói tin (packet). Nó sẽ so sánh những gói tin trùng với gói tin mẫu tấn công mà nó có, nếu trùng khớp thì kết luận đây là loại gói tin tấn công và hệ thống sẽ phát cảnh báo hoặc gởi tín hiệu tới tường lửa để ngăn cản gói tin đi vào mạng bên trong. Hiện nay đa số IDS/IPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS/IPS không nhận biết được, nên phải cập nhật các luật (dấu hiệu tấn công) thường xuyên giống như cập nhật virus. Nếu hoạt động theo kiểu thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm có nghĩa là không phải trường hợp tấn công mà vẫn gây báo động.
Như vậy, sau khi hệ thống IDS đã phát hiện ra tấn công, xâm nhập thì có thể thực hiện các hành động sau:
- Gửi tín hiệu đến tường lửa để ngăn chặn tấn công. Trường hợp này gọi là hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS) - Chỉ đưa ra cảnh báo cho người quản trị mạng: hệ thống phát hiện xâm
nhập trái phép (IDS).
Để phòng chống tấn công xâm nhập, có thể kết hợp hệ thống phát hiện với hệ thống tường lửa để ngăn cản những gói tin tấn công đi vào mạng bên trong. Một trong những hệ thống tường lửa được sử dụng phổ biến trong các phần mềm nguồn mở là Iptables. Có nhiều công cụ nguồn mở cho phép chuyển đổi các luật trong Snort thành các luật trong Iptables như Snort-inline, SnortSam, Fwsnort, … Trong luận văn này sẽ sử dụng Fwsnort để cài đặt thực nghiệm.
59