Log analyzers (phân tích log)
Là một tiến trình chạy trên server và xem log file trong hệ thống. Nếu có một log file không đúng với các tập luật trong tiến trình HIDS sensor thì hành động này sẽ bị giữ lại.
Log file thông thường dùng để ghi nhận lại mọi
hành động, mọi sự thay đổi diễn ra trong hệ thống và mọi hành vi từ bên ngoài tác động vào hệ
thống. Phân tích log nhằm mục đích phát hiện ra dấu hiệu hệ thống đã bị xâm nhập.
Một số loại HIDS sensors
Signature-based sensors (Cảm biến dựa trên dấu hiệu)
là một tập hợp các dấu hiệu được thiết lập để kiểm tra các traffic khi đi vào hệ thống. Khác với Log-based, signature-based phân tích được mọi lưu lượng đi vào hệ thống.
Signature-based phát hiện nhanh các cuộc tấn
công, nhưng để phát hiện các cuộc tấn công khác thường, tinh vi thì signature database trong IDS phải lớn và được cập nhật thường xuyên.
Một số loại HIDS sensors
Application behavior analyzers (phân tích hành vi ứng dụng)
Nó hoạt động như 1 phần mềm đứng giữa trình ứng dụng và hệ điều hành. Nó sẽ phân tích hành vi của trình ứng dụng, nếu thấy không hợp lệ sẽ cảnh báo hành vi đó.
Ví dụ, web server thông thường cho phép kết nối ở port 80 và đọc file trong thư mục web root, nếu web server ghi file hoặc đọc file trong 1 thư mục khác hoặc mở 1 connection thì cảm biến sẽ cảnh báo hành vi bất hợp lệ này
Một số loại HIDS sensors
File integrity checkers (bộ kiểm tra tính toàn vẹn)
Kiểm tra sự thay đổi của file thông qua các
phương pháp mã hóa như check sum hoặc digital signature của file.