2.2.1.Chức năng của sensor
2.3.1.Chức năng của Agent
Agent là phần tử mới trong hệ thống phát hiện xâm nhập, chúng được phát triển vào giữa thập kỉ 90. Chức năng chính của chúng là phân tích dữ liệu gửi từ sensor. Agent là một tập các xử lý chúng chạy độc lập và chúng được lập trình để phân tích hoạt động hệ thống hoặc sự kiện mạng để phát hiện hành động bất thường và những vi phạm chính sách bảo mật của một tổ chức. Agent là phần tử thực hiện các chức năng chuyên biệt nhất. Một số Agent kiểm tra traffic mạng và sự kiện trên host, như kiểm tra kết nối TCP có xảy ra hay không, thời gian bắt đầu kết nối và kết thúc kết nối, và có nhiều dữ liệu không hoặc dịch vụ nào bị tấn công. Một số agent có thể đánh giá diện mạo của giao thức lớp mạng như FTP, TFTP, HTTP, và SMTP cũng như phiên xác thực để xác định dữ liệu gói tin có liên quan đến kiểu tấn công đã biết hay không. Một số chỉ thực hiện giám sát hoạt động của hệ thống. Agent hoạt động độc lập. Có nghĩa là nếu một agent nào đó bị tấn công, các gent còn lại vẫn hoạt động bình thường (tất nhiên hệ thống không hoạt động hiệu suất trước đó được). Vì vậy hệ thống phát hiện xâm nhập có thể thêm hoặc bớt các agent nếu cần. Trên thực tế một hệ thống phát hiện xâm nhập nhỏ, có lẽ chỉ có một vài agent được triển khai.
Mặc dù các agent là hoạt động độc lập với nhau, tuy nhiên các agent
thường kết hợp với nhau. Mỗi Agent có thể nhận và phân tích chỉ một phần dữ liệu của hệ thống, mạng, hoặc thiết bị. Các Agent chia sẻ thông tin mà chúng thu được với mối Agent khác bằng một giao thức truyền thông đặc biệt. Khi một Agent phát hiện ra một hành động trái phép (như chiếm lấy quyền root, hoặc làm tràn gói tin trên mạng), thì ngay lập tức agent đó gửi thông báo tới tất cả các agent còn lại.
Thông tin mới này kết hợp với thông tin đã có của agent khác đưa ra thông tin về một cuộc tấn công đã xảy ra trên một host khác.
Đôi khi Agent tạo cảnh báo sai, vì vậy ở mức độ nào đó dẫn tới hoạt động sai của các agent khác. Những kẻ trục lợi dựa vào nhược điểm này kết hợp với với tạo cảnh báo sai phát tán toàn bộ hệ thống. Tuy nhiên, hệ thống phát hiện xâm nhập tốt có thể kiểm tra agent tạo ra cảnh báo sai, và có can thiệp kịp thời.
Ưu và nhược điểm của Agent: Ưu điểm:
• Khả năng thích nghi: có một số agent nhỏ và chúng có thể thích ứng nhanh nhu cầu cần thiết, bản thân chúng có thể tự thay đổi phù hợp tấn công.
• Hiệu suất cao: thi hành các agent là tương đỗi đơn giản vì vậy chúng có hiệu suất cao hơn khi mỗi agent đều hỗ trợ tất cả các chức năng.
• Có khả năng phục hồi: các agent duy trì trạng thái hoạt động tôt nếu như một số trong chúng bị tân công.
• Hoạt động độc lập: các agent hoạt động độc lập, nếu hệ thông có mất một hoặc 2 agent thì các agent còn lại không bị ảnh hưởng.
• Phù hợp nhiều mô hình IDS: các Agent phù hợp với việc triển khai cả hệ thống phát hiện xâm nhập lớn và cả hệ thống phát hiện xâm nhập nhỏ
• Dễ chuyển đổi: agent có thể di chuyển từ hệ thống này san hệ thống khác
Nhược điểm:
• Sử dụng tài nguyên lớn: Agent là nguyên nhân hệ thống quá tải bộ nhớ và CPU
• Cảnh báo sai: cảnh báo sai từ các agent dẫn đến nhiều vấn đề khác.
• Nhu cầu thời gian, nỗ lực và cần tài nguyên:
• Khả năng bị phá hủy
• Một agent đơn giản nhất có các thành phần và chức năng sau:
• Giao diện truyền thông: để truyền thông với các thành phần khác của hệ thống phát hiện xâm nhập.
• Thành phần nghe: chúng đợi và nhận dữ liệu từ sensor và thông báo từ các agent khác
• Thành phần gửi: chúng gửi dữ liệu và thông báo tới thành phần khác, như các agent khac và các thành phần quản lý.