IDS là gì? Tìm hiểu hệ thống phát hiện xâm phạm IDS

IDS (Intrucsion Detection System) được hiểu đơn giản là hệ thống phát hiện xâm phạm thông qua việc phát hiện những bất thường trong lưu thông mạng cũng như các sự kiện xảy ra trên hệ thống máy tính, từ đó phân tích và phát hiện các vấn đề về an ninh hệ thống để đám bảo việc phòng thủ trước những đợt tấn công mạng đang ngày một gia tăng. Hệ thống IDS khi phát hiện bất thường sẽ đưa ra các cảnh báo đối với quản trị viên hệ thống để tiến hành quét các cổng, đồng thời khóa các kết nối đang bị ảnh hưởng. Ngoài ra, IDS còn có cả khả năng phân biệt giữa tấn công bên trong và tấn công bên ngoài dựa trên dấu hiệu của tấn công, điều này tương tự như cơ chế của các phần mềm diệt virus

Phân loại IDS

IDS bao gồm 2 loại chính

NIDS: Hệ thống phát hiện xâm nhập mạng. Hệ thống này sẽ phân tích sâu trong tập hợp các gói tin mà không làm thay đổi cấu trúc, NIDS được triển khai ngay trên server

HIDS: Hệ thống phát hiện xâm nhập host, hệ thống này sẽ theo dõi các hoạt động của các host do đó sẽ được cài đặt trực tiếp trên các máy tính con (client) cần theo dõi.

Phân biệt IDS với các cơ chế bảo mật khác

Khi mà Internet đang ngày càng phát triển và tiếp cận rộng rãi hơn trong cộng đồng, các nguy cơ từ các cuộc tấn công cũng theo đó mà gia tăng. Người dùng nói chung hay người quản trị hệ thống nói riêng sẽ luôn phải đối mặt với những nguy cơ tiềm ẩn nếu như hệ thống không được bảo vệ triệt để. Từ đó, những cơ chế bảo mật cũng được sinh ra tùy theo nhu cầu của mỗi hệ thống. Chúng ta cần phân biệt rõ ràng sự khác nhau giữa IDS và một số cơ chế bảo mật khác:

- Các bộ quét bảo mật
- Hệ thống đăng nhập mạng chống DDOS (tấn công từ chối dịch vụ)
- Các phần mềm bảo mật, diệt virus
- Tường lửa
- Các hệ thống bảo mật như VPN, SSL…

Cơ chế bảo mật của IDS

IDS sẽ được cài đặt thường trực trên server hoặc máy tính cần theo dõi để cảnh báo khi có những bất thường liên quan đến hệ thống bao gồm:

- Bẻ khóa, crack, truy cập vi phạm
- Đánh chặn, lấy cắp IP
- Truy cập các trang web không lành mạnh
- Trojan
- Spyware, phần mềm gián điệp
- Các kết nối trái phép ra bên ngoài
- Nghe gói tin mạng
- Lạm dụng tính xác thực (thường xảy ra với các tấn công bên trong)
- Thay đổi tài nguyên trái phép (bao gồm việc thay đổi, xóa , can thiệp vào thuộc tính thông tin, thay đổi cấu hình mạng, máy chủ, truyền tải dữ liệu trái phép)
- Khai thác lỗ hổng hệ thống để truy cập thông tin
- Tấn công từ chối dịch vụ: Gửi liên tiếp các gói tin để làm lụt dữ liệu nhằm tắc nghẽn và hạn chế dịch vụ, tràn bộ đệm và làm tổn hại hệ thống từ xa.
- Tấn công ứng dụng web

Các thành phần chính của IDS

Trung tâm điều khiển IDS : Đây sẽ là nơi IDS giám sát và quản lý, duy trì kiểm soát thông qua các thành phần của IDS.

Hệ thống phân tích

Cảm biến (Sensor)

Đây là chương trình được cài đặt và chạy trên các thiết bị mạng, đóng vai trò giám sát mạng. Cảm biến sẽ giám sát các traffic trên tất cả các cổng, phát hiện các traffic bất thường

Bộ phân tích gói

Đây là chương trình giám sát xâm nhập, gửi cảnh báo cho quản trị viên khi có hành động xâm nhập bất thường.

Thành phần cảnh báo

Thành phần cảnh báo bao gồm các phương pháp gửi cảnh báo đến cho quản trị viên hệ thống như SMS, email, popupm SNMP

Quy trình hoạt động của IDS

Hệ thống IDS sẽ hoạt động theo 3 bước: Giám sát - Cảnh báo - Bảo vệ

Giám sát : Giám sát lưu lượng mạng cũng như các hoạt động bất thường

Cảnh báo: Gửi cảnh báo hệ thống cho người quản trị khi phát hiện có bất thường

Bảo vệ : Sử dụng các thiết lập từ người quản trị để bảo vệ hệ thống

Trên đây là những thông tin cơ bản về IDS. Qua bài viết này, các bạn đã có thể nắm được những thông tin về IDS để triển khai cho hệ thống của mình. IDS cũng là hệ thống bảo mật đặc biệt cho server, tuy nhiên mỗi người chúng ta cần nâng cao nhận thức về bảo mật thông tin, đặc biệt là bảo mật dữ liệu cá nhân để tránh các nguy cơ mất an toàn thông tin trên mạng Internet.

Hệ thống phát hiện xâm phạm là một phần rất quan trọng trong bất kỳ hệ thống nào với chức năng chính là kiểm tra lỗ hổng và cảnh báo tấn công khi mà nguy cơ về bảo mật, an ninh hệ thống ngày càng trở nên phức tạp. Taimienphi sẽ giới thiệu cho các bạn chi tiết về IDS cũng như cơ chế hoạt động của IDS
Top phần mềm giám sát băng thông tốt nhất
backupd là gì? Tại sao lại chạy trên Mac?
Đâu là thủ phạm ngốn băng thông của bạn?
installd là gì? Tại sao lại chạy trên Mac?
Tìm hiểu về lỗ hổng bảo mật là gì?
Tìm hiểu wmpnetwk.exe là gì? Nó có phải malware, virus không?

ĐỌC NHIỀU