Khi nghe đến thuật ngữ IDS, có thể bạn sẽ nghĩ về một NIDS. Những hệ thống phát hiện xâm nhập đã và đang ngày càng được sử dụng rộng rãi trong suốt thập niên qua chính bởi khả năng cung cấp một cái nhìn rõ nét về những điều đang xảy ra trong mạng của bạn. NIDS sẽ giám sát lưu lượng mạng bằng việc sử dụng một card giao diện mạng (NIC) để kết nối trực tiếp vào mạng của bạn. Sự giám sát này có thể được thực thi bằng cách kết nối NIC tới một HUB, để cho phép bạn giám sát tất cả các lưu lượng mạng đi qua HUB, hoặc bằng cách kết nối tới một cổng SPAN trên một switch, để phản ánh lưu lượng nhìn thấy được trến cổng khác của switch; hay là bằng cách kết nối tới một tap của mạng, đây là một thiết bị đứng trung gian giữa hai giao diện và nó phản ánh lưu lượng đi qua giữa các thiết bị. NIDS là điển hình trong việc triển khai để giám sát thụ động một phân mảnh nhạy cảm trong mạng như là một DMZ tách tường lửa, nơi đặt các web server liên hợp, hay việc giám sát những kết nối tới CSDL bên trong nắm giữ thông tin thẻ tín dụng của khách hang. Sự giám sát này cho phép bạn nhìn thấy bị động tất cả các giao dịch giữa server và những hệ thống đang cố gắng truy cập tới nó.
Một chữ ký hay một mẫu dược dùng phù hợp cho những sự kiện cụ thể, giống như một tấn công tới lưu lượng được nhận ra trong mạng của bạn. Nếu lưu lượng được nhận ra trong mạng phù hợp với chữ ký IDS của bạn thì một cảnh báo sẽ được tạo ra. Một cảnh báo cũng có thể tạo ra một hành động, giống như việc log cảnh báo vào một file rồi gửi mail tới ai đó bằng những phần chi tiết của cảnh báo, hay là cho phép một hành động tới địa chỉ của cảnh báo này giống như việc thêm vào một luật tường lửa để chặn lưu lượng trên một thiết bị khác.
Không phải tất cả các hệ thống phát hiện xâm nhập trái phép đều có thể thực hiện một hành động giống như kết quả của một cảnh báo được tạo ra. Những đặc tính này đôi lúc chính là sự khác nhau chính giữa một NIDS và môt hệ thống chống xâm nhập mạng (NIPS- Network Intrusion Prevention System).
Một NIDS là một hệ thống giám sát quyền năng dành cho lưu lượng mạng, nhưng có một vài điều cần nhớ khi triển khai nó:
- Bạn làm gì nếu những kỹ thuật lẩn tránh của NIDS được dùng để vượt qua NIDS và những chữ ký? Những kỹ thuật lẩn trành của NIDS thông thường như là tấn công phân đoạn, ghép nối phiên, và thậm chí là những tấn công từ chối dịch vụ cũng có thể được sử dụng để vượt qua NIDS, làm cho nó trở nên vô dụng.
- Bạn sẽ làm gì nếu những giao dịch giữa các host bị mã hóa? Bằng một NIDS bạn đang giám sát bị động lưu lượng và không có khả năng nhìn thấy một gói tin bị mã hóa.
- Bạn sẽ làm gì nếu một tấn công bị mã hóa tấn công vào server của bạn? Những chữ ký được thiết kế một cách cẩn thận sẽ không thể bắt được các tấn công mà NIDS được triển khai để bảo vệ ngược lại.
Việc điều chỉnh NIDS để phát hiện hoặc phá hủy những loại tấn công này thì sẽ tạo bước ngoặt giúp cho bạn tập trung thời gian vào các sự cố thực sự thay cho việc truy đuổi đến cùng những cảnh báo giả. Mỗi NIDS sẽ phải được điều chỉnh đối với từng phân đoạn mạng mà nó đang giám sát. Nhớ rằng tất cả những giải pháp NIDS đều thực hiện theo phương thức từ trên xuống để so sánh lưu lượng mạng với bộ chữ ký của bạn. Việc giảm số lượng rule trong tập chữ ký đã triển khai sẽ giảm tải được việc sử dụng bộ xử lý và bộ nhớ trong giải pháp NIDS. Nếu DMZ mà NIDS của bạn được triển khai trên đó lại không chứa bất kỳ web server nào, thì bạn có thể không cần những chữ ký để phát hiện các tấn công web server.
Những kẻ tấn công đang ngày càng trở nên tinh ranh về NIDS, đây là lý do tại sao HIDS giờ đây lại là một công cụ cấn thiết để bổ sung cho việc triển khai NIDS hiện tại của bạn.