Kontekstowe porównywanie wzorców

Kontekstowe porównywanie wzorców jest podejściem bardziej precyzyjnym i skomplikowanym, ponieważ bierze pod uwagę kontekst ustanowionej sesji i nie opiera się na pojedynczych pakietach.

Produkty tego typu muszą brać pod uwagę porządek, w jakim przesyłane są pakiety w strumieniu TCP. Metoda ta wymaga zaangażowania większych zasobów niż proste porównywanie wzorców.

Analiza protokołowa

W tym przypadku motor detekcyjny IDS wykonuje pełną analizę protokołową, dekodując i przetwarzając zawartość pakietu w ten sam sposób jak docelowy klient czy serwer. Jest to też analiza w pełni kontekstowa.

Zaletą tej metody jest możliwość wykrycia wszystkich anomalii w pakiecie, co pozwala na większą elastyczność w przechwytywaniu ataków, szczególnie nowych lub zmodyfikowanych.

Motor dekodujący stosuje reguły zdefiniowane przez odpowiednie standardy i zalecenia i poszukuje odchyleń od nich. Pozwala to na wykrywanie anomalii, takich jak dane binarne w zleceniu HTTP lub podejrzana długość danych, wskazująca na możliwość przepełnienia bufora.

Porównywanie wzorców i analiza protokołowa nie wykluczają się nawzajem. Analiza protokołowa może dawać podstawy do wyselekcjonowania pewnego podzbioru sygnatur do identyfikacji.

Metoda ta minimalizuje możliwość fałszywych identyfikacji, jeżeli stosowane protokoły są dobrze zdefiniowane. Pozwala także na wykrywanie ataków w różnych ich wariantach.

Analiza heurystyczna

Sygnatury heurystyczne polegają na stosowaniu pewnych algorytmów, na podstawie których są podejmowane decyzje alarmowe. Algorytmy te polegają często na statystycznych ocenach typu ruchu.

Sygnatury tego typu będą reagować różnie w różnych sieciach i mogą być źródłem dużej liczby alarmów fałszywych. Wymagają one bardzo dokładnego zestrojenia z siecią w zakresie progów i wzorców użytkowania.

Analiza anomalii

Ten model analizy nie identyfikuje ataków bezpośrednio, koncentruje się natomiast na ignorowaniu tego wszystkiego, co jest normalne. Produkty działające w ten sposób nazywane są anomaly-based IDS. Ich działanie opiera się przede wszystkim na określeniu tego, co jest normalne, a co anormalne w ruchu sieciowym.

Podstawową zaletą metody opartej na wykrywaniu anomalii jest zdolność do rozpoznawania nieznanych ataków, ponieważ nie opiera się ona na wiedzy, jak konkretny atak wygląda, ale na tym, co nie odpowiada normom ruchu normalnego. Cechą ujemną tej metody jest konieczność "trenowania" systemu pod kątem wychwytywania "szumów" pochodzących z naturalnych zmian w normalnym ruchu sieciowym (instalacja nowych aplikacji).

Zmiany w standardowych operacjach mogą powodować fałszywe alarmy, podczas gdy działalność hakerska może jawić się jako ruch normalny. W tej technice istnieje także trudność identyfikacji konkretnych typów ataków. Jest to dziedzina młoda i ma jeszcze długą drogę do dojrzałości.

Przykłady produktów IDS

Wiele dostępnych na rynku narzędzi IDS nadal opiera się na sygnaturach identyfikujących znane formy ataków. Oznacza to konieczność stałego instalowania nowych sygnatur, który to proces jest teraz często automatyzowany.

Wielu dostawców proponuje też nowe rozwiązania, polegające na identyfikowaniu ataków metodą wykrywania odchyleń od wzorców ruchu lub anomalii w specyficznych pakietach, a nie na porównywaniu z sygnaturami. Rozwiązania takie dostarczane są często w postaci urządzeń programowalnych, co ułatwia ich wdrażanie.