Như vậy, chỳng ta đó tỡm hiểu chi tiết nguyờn lý, hoạt động của hệ thống NIDS về mặt lý thuyết. Áp dụng vào thực tế hệ thống mạng, cỏc cụng việc cụ thể của nú sẽ như sau:
+ Đối phú với xõm nhập
Phỏt hiện xõm nhập:
Bao gồm cỏc chức năng thu thập, phõn tớch, lưu trữ dữ liệu.
+ Thu thập dữ liệu: cú chức năng thu thập và cung cấp thụng tin về cỏc “sự kiện” trong hệ thống được bảo vệ cho cỏc thành phần phõn tớch để làm nhiệm vụ xử lý. Quỏ trỡnh thu thập này bao gồm cả việc loại bỏ những thụng tin khụng cần thiết.
Trong mụi trường mạng, luồng tải (traffic) bao gồm cỏc bú dữ liệu IP lưu thụng dọc theo mạng. NIDS cú thể bắt giữ được cỏc gúi tin đú khi chỳng truyền trờn dõy. NIDS bao gồm một stack TCP/IP đặc biệt để tập hợp lại cỏc bú dữ liệu IP và cỏc luồng TCP.
+ Phõn tớch dữ liệu: sẽ phõn tớch thụng tin nhận được từ bộ phận thu thập dữ liệu. Mục đớch của nú là tinh chỉnh tiếp thụng tin cú liờn quan đến vấn đề an ninh, phõn tớch đỏnh giỏ khả năng sự xõm nhập đang xảy ra, đó xảy ra hay sắp xảy ra.
Sử dụng một số kỹ thuật phõn tớch sau:
Protocol stack verification: Một số xõm nhập, như "Ping-O-Death" and
"TCP Stealth Scanning" sử dụng cỏc vi phạm của cỏc giao thức cơ bản IP, TCP, UDP và TCMP để tấn cụng mỏy tớnh. Một hệ thống kiểm tra đơn giản cú thể đỏnh dấu cỏc gúi tin khụng hợp lệ.
Application protocol verification: Một số xõm nhập sử dụng cỏch chạy
giao thức khụng hợp lệ, như “WinNuke” (dựng giao thức NetBIOS, thờm dữ liệu OOB) hoặc bộ nhớ đệm DNS đó bị nguy hiểm, cú chữ ký hợp lệ nhưng khụng thụng thường. Để phỏt hiện cỏc xõm nhập này một cỏch hiệu quả, NIDS cần phải thi hành lại một lượng lớn cỏc loại giao thức lớp ứng dụng khỏc nhau để dũ cỏc cỏch chạy khụng hợp lệ hoặc cú nghi ngờ.
Creating new loggable events: NIDS cú thể được dựng để mở rộng khả
năng kiểm tra phần mềm quản trị mạng của bạn. Chẳng hạn, NIDS cú thể đơn giản ghi lại tất cả cỏc giao thức lớp ứng dụng được dựng trờn mỏy. Sau đú, cỏc hệ thống ghi sự kiện (WinNT event, UNIX syslog, SNMP TRAPS,... ) sẽ tương quan cỏc sự kiện được mở rộng đú với cỏc sự kiện khỏc trờn mạng.
+ Lưu trữ dữ liệu: Hai bộ phận thu thập và phõn tớch dữ liệu cú thể tạo ra một số lượng rất lớn thụng tin. Sau đú chỳng sẽ được bộ lưu trữ ghi nhận nhằm bảo đảm sự sẵn sàng của dữ liệu cho việc phõn tớch. Tuy nhiờn, nếu ta khụng tiến hành lưu trữ hợp lý sẽ dẫn tới toàn bộ hiệu năng của cả hệ thống bị ảnh hưởng.
Dữ liệu thu thập: được lấy từ nhiều nguồn khỏc nhau, vớ dụ cỏc log file của Web server, log file của firewall, cỏc thụng tin về việc sử dụng tài nguyờn CPU, việc truy cập cỏc tài nguyờn của HĐH ...Hệ thống cú phỏt hiện được sự xõm nhập hay khụng phụ thuộc trước tiờn vào việc thu thập dữ liệu. Nếu việc thu thập dữ
liệu chậm hoặc bị mất mỏt thỡ rất dễ bị mất dấu vết của kẻ xõm nhập, lấy vớ dụ cụ thể, một chương trỡnh cần giỏm sỏt hoạt động xảy ra trờn mạng, nú phải cú thể bắt được hết cỏc gúi tin truyền trờn mạng, nếu tốc độ mạng lớn, thụng lượng đường truyền cao việc theo kịp tốc độ mạng là rất khú.
Đối phú với xõm nhập:
Bao gồm khả năng phỏt ra cảnh bỏo hoặc cú thể tỏc động lại kẻ tấn cụng dưới dạng kết thỳc liờn kết, sửa đổi lại bảng điều khiển của router để ngăn chặn những cuộc tấn cụng tiếp theo cú cựng nguồn gốc.
Hệ thống NIDS cú một số hành động đối phú thụng thường sau
Reconfigure firewall: cấu hỡnh lại firewall để lọc địa chỉ IP của kẻ xõm
nhập. Tuy nhiờn, điều này vẫn cho phộp kẻ xõm nhập tấn cụng từ những địa chỉ khỏc. Trạm kiểm soỏt firewall hỗ trợ một SAMP (Suspicious Activity Monitoring Protocol) để cấu hỡnh cỏc firewall. Trạm kiểm soỏt cũng cú chuẩn “OPSEC” của nú cho việc cấu hỡnh lại cỏc firewall để ngăn chặn cỏc địa chỉ IP nguy hiểm.
Chime (chuụng): phỏt ra tiếng bớp hoặc chạy một file .WAV. Vớ dụ, bạn cú
thể nghe thấy lời cảnh bỏo “You are under attack ”.
SNMP Trap: gửi một bú dữ liệu SNMP Trap đến nơi quản trị giao tiếp
người mỏy như HP OpenView, Tivoli, Cabletron Spectrum,... NT Event: gửi một sự kiện đến WinNT event log.
syslog: gửi một sự kiện đến hệ thống sự kiện UNIX syslog.
Send e-mail: gửi e-mail đến nhà quản trị để thụng bỏo về tấn cụng.
Page: nhắn tin (dựng những mỏy nhắn tin thụng thường) cho nhà quản trị
hệ thống.
Log the attack: ghi lại cỏc thụng tin của cuộc tấn cụng (nhón thời gian, địa
chỉ IP của kẻ xõm nhập, địa chỉ IP/cổng của mỏy nạn nhõn, thụng tin về giao thức).
Save evidence (lưu lại dấu vết): lưu lại một file theo vết cỏc gúi tin để sử dụng cho quỏ trỡnh phõn tớch sau này.
Launch program (khởi chạy chương trỡnh): chạy một chương trỡnh riờng để
xử lý sự kiện.
Terminate the TCP session (kết thỳc phiờn TCP) : giả mạo một gúi tin TCP
FIN để ngắt kết nối.