Malicious TCP
2.6. TÌM HIỂU VỀ IDS:
IDS (Intrusion Detection System_ hệ thống phát hiện xâm nhập) là một thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị
Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng cách hành động đã được thiết lập trước như khóa người dùng hay địa chỉ IP nguồn đó truy cập hệ thống mạng,…..
IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường.
Ta có thể hiểu tóm tắt về IDS như sau :
• Chức năng quan trọng nhất : giám sát -cảnh báo - bảo vệ
- Giám sát : lưu lượng mạng + các hoạt động khả nghi.
- Cảnh báo : báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.
- Bảo vệ : Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng :
- Phân biệt : "thù trong giặc ngoài"
- Phát hiện : những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự
so sánh thông lượng mạng hiện tại với baseline
2.6.2. Các thành phần và chức năng của IDS:
• IDS bao gồm các thành phần chính: • Thành phần thu thập thông tin gói tin. • Thành phần phát hiện gói tin.
Hình 2.24: Mô hình kiến trúc phát hiện xâm nhập