Khi quan tâm đến vùng dữ liệu cần được kiểm tra để phát hiện xâm nhập, chúng ta có thể chia hệ thống IDS thành hệ thống trạm nếu dùng để phân tích dữ liệu cho một máy chủ hoặc hệ thống mạng nếu dùng để phân tích dữ liệu cho toàn mạng.
Hệ thống dựa vào máy chủ (Host based system) (HIDS)
Dùng cho việc dò tìm những hành động xâm nhập vào một máy chủ hoặc một hệ thống đơn lẻ, bao gồm các chức năng:
- Dò tìm, theo dõi kết nối vào ra: Hệ thống này dùng để kiểm tra các kết nối mạng từ ngoài vào hoặc từ trong hệ thống ra mạng ngoài, thường được dùng để ngăn ngừa các kết nối hoặc cảnh báo các hành động dò tìm mạng.
- Kiểm tra lưu lượng mạng vào ra của máy chủ: Hệ thống này thường dùng dò tìm những dữ liệu có tính nhạy cảm hoặc cảnh báo sự quá tải.
- Theo dõi những hành động vào ra: Hệ thống này dùng theo dõi quá trình truy nhập hoặc thoát khỏi một máy chủ cần được theo dõi hoặc một hệ thống.
- Theo dõi hành động của quản trị: Dùng theo dõi những hành động bất thường của tài khoản có quyền cao nhất trên hệ thống, cảnh báo và phòng chống trường hợp giả mạo hoặc bị chiếm quyền hệ thống.
- Theo dõi sự thay đổi của hệ thống: Dùng để theo dõi những sự thay đổi đối với những file có tính quan trọng trên hệ thống (ví dụ file cấu hình hệ thống).
Hệ thống dựa vào máy chủ được thiết lập để cung cấp khả năng bảo vệ cho một máy chủ đặc biệt nào đó. Thông thường nó không chỉ có module giám sát mà còn cung cấp cả các module có tính năng phản ứng lại các hành động tấn công. Một số sản phẩm có thể kể tới hiện nay như Snort, Dragon Squire, Emerald eXpert-BSM, NFR HID.
Hình 2. 7: Kết nối logic của HIDS
Hệ thống dựa vào mạng (Network based system) (NIDS)
NIDS phát hiện các hoạt động tấn công, các tấn công DoS hoặc quét các cổng trên mạng máy tính hoặc trên bản thân từng máy tính. NIDS giám sát lưu lượng mạng và trợ giúp phát hiện các hoạt động xấu nhờ nhận dạng các mẫu nghi ngờ trong các gói đến mạng. NIDS thực hiện quá trình tổng hợp và phân tích toàn bộ lưu lượng vào ra trên tất cả các cổng, các giao diện của mạng. Nó không chỉ xử lý dữ liệu đến một máy đặc biệt nào đó mà có thể phân tích lưu lương cho cả một phân đoạn mạng. Thông thường hệ thống NIDS được thiết lập trên một thành phần hoạt động ở chế độ thụ động (passive) nhờ đó nó có thể thu nhận mọi tín hiệu mà không bị phát hiện ra trên mạng. Trong một số trường hợp NIDS cũng có thể được thiết lập trên những thiết bị mạng đang hoạt động, ví dụ như bộ định tuyến (router) và nó cũng làm việc với firewall để đảm bảo an ninh tốt hơn chống lại các tấn công (ví dụ, địa chỉ IP tấn công nghi ngờ). Tuy nhiên nếu lưu lượng được mã hóa thì NIDS không có tác dụng.
Hoạt động dò tìm xâm nhập là công việc thuần túy thống kê dữ liệu, nên một hệ thống NIDS có thể được phân chia thành các module độc lập theo các chức năng như các chức năng theo dõi lưu lượng, chức năng thu nhận các gói tin trên một đoạn mạng mà không cần phân tích, chức năng phân tích những dữ liệu thu nhận được v.v… Một số sản phẩm có thể kể đến hiện nay là: Cisco Secure IDS (NetRanger), Hogwash, Dragon, E-Trust IDS.
Hình 2. 8: Kết nối logic của NIDS
Có hai phương pháp dựa vào nguồn dữ liệu được phân tích trong NIDS: dựa vào gói (packet-based) và dựa vào luồng (flow-based).
Trong Packet-based NIDS, tất cả các gói của mạng đi qua một điểm quan sát nào đó như router được bắt lấy mà không bị mất bất kỳ thông tin nào. Sự bắt gói bao gồm các lớp 2-7 của OSI. Phương pháp Packet-based chủ yếu áp dụng cho phát hiện dựa vào dấu hiệu (signature-based detection).
Trong Flow-based NIDS luồng dữ liệu hay luồng mạng chỉ cung cấp thông tin về hành vi của kết nối và không có nội dung gói (packet payload), do đó, bất kỳ tấn công nào chỉ xâm nhập vào packet payload sẽ không thể bị phát hiện. Phương pháp được dùng để giám sát các tương tác mạng và xác định các mẫu truyền thông giữa các máy chủ.
Hệ thống tích hợp HIDS và NIDS
Nếu kết hợp HIDS và NIDS sẽ tạo ra một kiểu hệ thống IDS là NNIDS (Network Node IDS). Trong hệ thống này nhiều tác tử (agent) được thiết lập trên các máy chủ (server, node) trong mạng cần được bảo vệ, thực tế NNIDS hoạt động giống như là NIDS cho từng máy chủ, các agent này sẽ thu nhận dữ liệu trực tiếp trên các máy chủ đó. Việc xử lý dữ liệu có thể được thực hiện ngay trên agent hoặc được đưa về bộ xử lý trung tâm để xử lý. NNIDS thường được sử dụng trong những mạng mang tính bảo mật cao, ví dụ như các ứng dụng thương mại điện tử, những gói tin thường được mã hóa và chỉ có chính máy chủ đó mới có thể giải mã được. Tuy nhiên, hệ thống NNIDS chỉ là sự lai tạp giữa
hệ thống trạm và mạng, vì thế chúng ta chỉ cần quan tâm chủ yếu đến hai hệ thống là HIDS và NIDS.