IDS là một hệ thống phòng thủ có nhiệm vụ dò tìm những hành động mang tính thù địch trên mạng. Mục đích chính của IDS là dò tìm và có thể thực hiện ngăn cản những hành động tấn công vào hệ thống an ninh hoặc những tấn công phá hoại bao gồm cả việc do thám và thu thập tài liệu. Đặc điểm chính của hệ thống dò tìm xâm nhập là khả năng cung cấp cách xác định hành động không mong đợi và tạo ra cảnh báo tới người quản trị mạng và có thể thực hiện ngăn chặn những kết nối không mong muốn. Theo một định nghĩa trên trang web www.securitydocs.com, dò tìm xâm nhập là một quá trình xác định và đáp ứng lại những hành động tấn công nhằm vào hệ máy tính và tài nguyên mạng. Ngoài ra IDS còn có khả năng xác định nguồn gốc những cuộc tấn công.
Thực tế có nhiều thiết bị an ninh sử dụng những công nghệ dùng trong IDS, tuy nhiên không phải mọi thiết bị dò tìm đều là hệ thống IDS:
- Hệ thống ghi nhật ký mạng thường dò tìm những tấn công DoS trên mạng. Đây là những hệ thống theo dõi lưu lượng mạng.
- Những công cụ dùng để kiểm tra lỗi trong hệ điều hành và các chương trình ứng dụng mạng. Đây thường là những công cụ để kiểm tra mạng.
- Những chương trình chống virus được thiết kế để phát hiện và diệt các chương trình virus, trojan, worm v.v… Những chương trình này có đặc điểm rất
giống với hệ thống dò tìm xâm nhập và thường cung cấp cho hệ thống một công cụ phát hiện vi phạm an ninh rất hiệu quả.
- Tường lửa (firewall), các hệ thống Proxy.
- Hệ thống bảo mật, mã hóa, ví dụ như VPN, SSL v.v...
Nguyên tắc phân loại tấn công và xâm nhập
Hệ thống IDS dùng để chống lại những vi phạm về an ninh trong mạng, vì thế chúng ta cần hiểu rõ hơn về những hành động gây nguy hiểm cho mạng. Có thể định nghĩa một số hành động đó như sau:
- Xâm nhập: Một loạt những hành động liên quan với nhau nhằm đe dọa tính an toàn của nguồn tài nguyên mạng từ một truy nhập bất hợp pháp.
- Hành động xảy ra: Sự vi phạm chính sách an ninh mạng và được xác định như là một sự xâm nhập thành công.
- Tấn công: Những cố gắng để truy nhập vào một hệ thống nhưng chưa thành công.
- Mô hình xâm nhập: Mô hình các hành động theo thời gian tạo ra một sự xâm nhập. Kẻ xâm nhập bắt đầu tấn công với những hành động mở đầu và tiến tới truy nhập thành công. Trên thực tế, một tấn công từ bất kỳ một người nào, kể cả người quản trị, cũng bị xem là hành động đe dọa tới an ninh của mạng.
Hoạt động của hệ thống
Chức năng chính của hệ thống IDS là bảo vệ mạng và hệ thống máy tính bằng cách dò tìm những tấn công và có thể lặp lại chúng. Việc dò tìm những hoạt động tấn công phụ thuộc vào số lượng và kiểu tấn công. Ngăn chặn xâm nhập đòi hỏi một sự kết hợp tốt giữa dò tìm và giăng bẫy. Chuyển hướng chú ý của hành động tấn công cũng là một nhiệm vụ. Cả hai hệ thống IDS theo thời gian thực và hệ thống phân tích nhật ký đều cần được giám sát. Số liệu đưa ra từ hệ thống IDS cần được kiểm tra kỹ để không bỏ sót bất kỳ một dấu hiệu tấn công nào.
Khi một hoạt động xâm nhập xảy ra, hệ thống IDS sẽ tạo ra một tín hiệu cảnh báo đối với người quản trị hệ thống, quản trị mạng. Bước tiếp theo có thể được xử lý bởi người quản trị hoặc từ hệ thống IDS, có thể là ngắt kết nối, kết
thúc phiên làm việc hoặc chỉ chuyển hướng hoạt động đó sang hệ thống khác, điều này phụ thuộc vào chính sách an ninh của từng mạng.
Hình 2. 1: Các hoạt động của hệ thống IDS
Hình 2. 2: Hạ tầng hệ thống IDS
Mặc dù nhiệm vụ của hệ thống IDS có thể thay đổi nhưng việc dò tìm những hoạt động tấn công vẫn là nhiệm vụ chính, chức năng chính của hệ thống. Sẽ rất tốt đối với an ninh mạng nếu chúng ta nghiên cứu về các cuộc tấn công và thực hiện biện pháp ngăn ngừa trước những tấn công đó trong tương lai.
Đôi khi hệ thống IDS cũng tạo ra những cảnh báo sai, đặc biệt khi gửi một miêu tả về một lỗi hay một loại virus nào đó thông qua mạng, qua dịch vụ thư điện tử v.v... Tỷ lệ cảnh báo sai của IDS thể hiện chất lượng của IDS.