Network IDS (NIDS)

Sieciowe IDS to właściwie produkty dwóch typów. Opierają się one na sensorach rozmieszczonych w sieci, "prześwietlających" wszystkie pakiety przekazywane do każdego urządzenia w sieci. Działają one metodą porównywania pakietów z wzorcami (sygnaturami) ataków (attack signatures), przechowywanymi w bazie danych IDS, lub wykorzystując analizę protokołów mającą na celu wykrywanie anomalii w ich wykonywaniu. Bazy danych sygnatur są regularnie uaktualniane przez dostawców pakietów IDS w miarę pojawiania się nowych form ataków.

Po wykryciu podejrzanej aktywności monitor sieciowy może zaalarmować obsługę sieci, a także zamknąć natychmiast podejrzane połączenie. Wiele tego typu rozwiązań integruje się z zaporami ogniowymi w celu ustalania dla nich nowych reguł blokowania ruchu, umożliwiających zablokowanie działań hakera już na zaporze ogniowej, przy próbie kolejnego ataku.

Większość ataków budowanych jest przy użyciu szeregu pakietów, wysłanych nierzadko w dużych odstępach czasu. Oznacza to konieczność przechowywania przez IDS pewnej liczby pakietów w wewnętrznym buforze w celu możliwości śledzenia całej sesji i porównania grupy pakietów z zawartością bazy danych sygnatur. Technika ta, znana jako technika kontekstu stanów (maintaining state), pozwala na porównanie ostatnio otrzymanego pakietu z bazą danych w kontekście tego, co wydarzyło się już wcześniej podczas tej sesji.

Network Node IDS (NNIDS)

Odmianą hybrydową NIDS są tzw. Network Node IDS, angażujące w proces wykrywania moduły agentów umiejscowione na poszczególnych serwerach. Agent taki pracuje w sposób podobny do sieciowych IDS - pakiety przechwytywane w sieci są porównywane z sygnaturami ataków z bazy danych - interesuje się jednak tylko pakietami adresowanymi do węzła, na którym rezyduje (stąd nazwa "IDS węzła sieci", czasami też Stack-based IDS). Systemy takie są niekiedy określane jako "hostowe", jednak termin ten używany jest przede wszystkim w odniesieniu do systemów skupiających się na monitorowaniu plików logu i analizie zachowań, natomiast sieciowe i węzłowe IDS skupiają się na analizie ruchu TCP - z tą jedynie różnicą, że NIDS monitoruje cały ruch w sieci, podczas gdy NNIDS skupiają się na wybranych pakietach w sieci.

Fakt, że systemy NNIDS nie zajmują się wszystkimi pakietami krążącymi w sieci, powoduje, iż pracują one znacznie szybciej i wydajniej, co pozwala na instalowanie ich na istniejących serwerach bez obawy ich przeciążenia.

Systemy hybrydowe

Systemy oparte na monitorowaniu sieci skupiają się na jej ochronie, a wykrywanie wtargnięć metodą hostową opiera się na specjalnym oprogramowaniu pracującym na serwerach i innych platformach typu host. Przyszłością IDS są jednak rozwiązania hybrydowe.

Systemy oparte na hostach mają przewagę w połączeniach szyfrowanych, takich jak sesje webowe SSL (Secure Socket Layer) czy połączeniach VPN (Virtual Private Network), ponieważ mają dostęp do danych nie zaszyfrowanych. Systemy sieciowe wykrywania włamań nie mogą deszyfrować danych, muszą więc przepuszczać pakiety zaszyfrowane i niektóre typy ataków wykorzystują właśnie ten fakt.

Natomiast IDS węzłów sieci mogą obsługiwać ruch szyfrowany, jeżeli są dostatecznie "wysoko" posadowione w stosie TCP/IP (to znaczy ruch, który do nich dociera, jest już odszyfrowany). Jest to jedyny sposób, w jaki IDS mogą obsługiwać ruch szyfrowany w układzie end-to-end.

Filtrowanie alarmów fałszywych

Istotnym zagadnieniem w różnych rozwiązaniach IDS jest filtrowanie fałszywych alarmów. Alarmy takie stanowią poważny problem z powodu obciążania systemu nadmierną analizą zdarzeń, a z drugiej strony duży procent fałszywych alarmów powoduje spadek czujności personelu (nierzadko dochodzi do wyłączania alarmów z powodu natarczywości alarmów fałszywych i analizowania zdarzeń post factum).

Do filtrowania alarmów pod kątem alarmów fałszywych używane są aplety Javy w połączeniu z regułami statystycznymi. Innym stosowanym mechanizmem jest tzw. concern index, przypisujący każdej komunikacji hosta z siecią odpowiedni "poziom podejrzenia". Alarmy są generowane jedynie wtedy, gdy poziom podejrzenia osiągnie zadany próg. W pozostałych przypadkach zdarzenia są rejestrowane, ale alarmy nie są włączane.

Zarządzanie w pakietach IDS

Sieciowe IDS składają się w zasadzie z oddzielnych sensorów i funkcji zarządzania. Sensory te monitorują ruch sieciowy i wykrywają w nim pakiety noszące znamiona ataku. Funkcje zarządzające, które obejmują zarządzanie zdarzeniami i raportowanie, zawarte są przeważnie w oddzielnym module konsoli. Sensory mogą pracować na różnego rodzaju platformach: Windows, Unix, Linux czy Solaris. W większości przypadków do zarządzania używane są serwery zarządzające oparte na Windows, jak również odpowiednie oprogramowanie klienckie. Stosowane są też webowe techniki zarządzania oparte na przeglądarce.

Zarządzanie rozległą siecią sensorów jest realizowane na ogół w architekturze 3-warstwowej: centralna konsola zarządzania, sensory i kolektor zdarzeń, który odciąża konsolę centralną w funkcjach wstępnego przetwarzania zdarzeń. Taki kolektor grupuje do kilkudziesięciu sensorów, a konsola centralna obsługuje wiele kolektorów. Model ten jest stosowany w większości produktów.