CHƯƠNG 2 HỆ THỐNG CẢNH BÁO XÂM NHẬP ID S SNORT
2.2. PHÂN LOẠI IDS
2.2.2. Host-based IDS – HIDS
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và
những lưu lượng mạng thu thập được.
Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử kiểm chứng và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dị của mạng có thể phát hiện một cuộc tấn cơng, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn cơng có thành cơng hay khơng.
HIDS thường được cài đặt trên một máy tính nhất định theo Hình 2.5.
Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu
đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống,
bao gồm:
- Các tiến trình.
- Các entry của Registry. - Mức độ sử dụng CPU.
- Kiểm tra tính tồn vẹn và truy cập trên hệ thống file. - Một vài thông số khác.
- Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay
đổi khả nghi trên hệ thống file sẽ gây ra báo động.
Hình 2.5. Mơ hình hoạt động Host based IDS - HIDS
Ưu điểm
- Có khả năng xác đinh user liên quan tới một event.
- HIDS có khả năng phát hiện các cuộc tấn cơng diễn ra trên một máy, NIDS khơng có khả năng này.
- Có thể phân tích các dữ liệu mã hố.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.
Nhược điểm
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.
- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". - HIDS phải được thiết lập trên từng host cần giám sát .
- HIDS khơng có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat, …).
- HIDS cần tài nguyên trên host để hoạt động. - HIDS có thể khơng hiệu quả khi bị DOS.