- Lợi thế của Network Base IDS:
+ Cú khả năng xỏc định ngƣời dựng liờn quan tới một sự kiện. + HIDS cú khả năng phỏt hiện cỏc cuộc tấn cụng diễn ra trờn một mỏy. + Cú thể phõn tớch cỏc dữ liệu đó húa.
+ Cung cấp cỏc thụng tin về host trong lỳc cuộc tấn cụng diễn ra. - Hạn chế của Network Base IDS:
+ Thụng tin từ HIDS là khụng đỏng tin cậy ngay khi sự tấn cụng vào host này thành cụng.
+ Khi hệ điều hành bị “hạ” do tấn cụng thỡ đồng thời HIDS cũng bị “hạ”. + HIDS cần phải đƣợc thiết lập trờn từng host cần giỏm sỏt.
+ Cú độ trễ giữa thời điểm bị tấn cụng với thời điểm bỏo động. Khi bỏo động đƣợc phỏt hiện ra, hệ thống cú thể đó bị tổn hại.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
+ HIDS khụng cú khả năng phỏt hiện cỏc cuộc dũ quột mạng (Nmap, Netcat…).
+ HIDS cần tài nguyờn trờn host để hoạt động. + HIDS cú thể khụng hiệu quả khi bị DOS.
+ Đa số chạy trờn hệ điều hành Window. Tuy nhiờn cũng cú một số chạy trờn UNIX và cỏc hệ điều hành khỏc.
Cơ chế hoạt động của IDS.
IDS cú hai chức năng chớnh là phỏt hiện cỏc cuộc tấn cụng và cảnh bỏo cỏc cuộc tấn cụng đú. Cú hai phƣơng phỏp khỏc nhau để phõn tớch cỏc sự kiện để phỏt hiện cỏc vụ tấn cụng: phỏt hiện dựa trờn cỏc dấu hiệu và phỏt hiện dựa trờn sự bất thƣờng. Cỏc sản phẩm của IDS cú thể sử dụng một trong hai cỏch hoặc sử dụng kết hợp cả hai.
a. Phỏt hiện dựa trờn sự bất thường.
Cụng cụ này thiết lập một hiện trạng cỏc hoạt động bỡnh thƣờng và sau đú duy trỡ một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khỏc biệt, nghĩa là đó cú sự xõm nhập.
b. Phỏt hiện thụng qua Protocol.
Tƣơng tự nhƣ việc phỏt hiện dựa trờn dấu hiệu, nhƣng nú cú thực hiện một sự phõn tớch theo chiều sõu của cỏc giao thức đƣợc xỏc định cụ thể trong gúi tin.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Sau đõy là cấu trỳc của một gúi tin: