Oprogramowanie IDS (Intrusion Detection System) można podzielić na dwie grupy: takie, które jest instalowane na urządzeniach sieciowych (network-based) i takie, które jest instalowane w pamięciach poszczególnych hostów (host-based). Oprogramowanie host-based jest instalowane głównie na serwerach, ale można je też zainstalować na pececie albo na notebooku. System IDS typu host-based to ostatnia linia obrony. Jeśli w sieci funkcjonuje system IDS typu network-based, to jest to pierwsza linia obrony przed włamaniami.

Serwer, na którym chcemy zainstalować oprogramowanie IDS musi być na tyle wydajny, aby nie odbyło się to kosztem spowolnienia pracy podstawowych aplikacji biznesowych uruchamianych na komputerze. Jeśli w sieci nie pracuje żaden system IDS typu network-based, rozwiązanie typu host-based może być ostatnią deską ratunku, która zabezpieczy poszczególne hosty przed włamaniami.

Zobacz również:

• Dzisiaj mamy Światowy Dzień Hasła
• Hakerzy włamali się do znanego polskiego sklepu internetowego

Programy IDS typu network-based przeglądają pakiety na poziomie sieci, podczas gdy programy ISD typu host-based monitorują zasoby generowane na poziomie systemu plików, kontrolują procesy uruchamiane na komputerze oraz przeglądają dzienniki zdarzeń, starając się wykryć w tych elementach systemu takie informacje, które wskazywałyby na próby włamania. Większość oprogramowania IDS typu host-based (są to agenci rezydujący na stałe w pamięci komputera) pracuje podobnie jak oprogramowanie antywirusowe – ma do dyspozycji bazę danych zawierającą określone wzorce, które są porównywane z zawartością monitorowanych zasobów. Narzędzie IDS skanuje dzienniki zdarzeń generowane przez system operacyjny i aplikacje, szukając w nich podejrzanych wpisów. Narzędzie sprawdza na przykład, czy ktoś nie próbował uzyskać dostępu do ważnych plików systemowych oraz monitoruje ruch wchodzący do serwera i wychodzący z niego.

Atak na serwer może się zacząć od tego, że bufor na dane zaczyna się zapełniać w zastraszającym tempie. Włamywacz może wtedy wejść do systemu tylnymi drzwiami, uzyskując prawa przysługujące administratorowi serwera. Tymi samymi drzwiami do systemu może się przedostać wirus Troja i skopiować się do katalogu systemowego. Plik zawierający wirusa może być wtedy zarejestrowany jako część systemu lub przybrać postać programu, który jest wykonywany w momencie startowania komputera.

Agent IDS zainstalowany na serwerze może nie dopuścić do takiego ataku, rejestrując wcześniej fakt, że bufor zaczyna się szybko, a właściwie za szybko, zapełniać danymi. Agent może też zareagować na fakt, że rejestr systemu Windows jest zmieniany, że ktoś próbuje dopisać plik do katalogu systemowego, względnie że program z Trojanem jest uruchamiany.

Po wykryciu takiego zagrożenia oprogramowanie IDS może reagować na kilka sposobów. Może wygenerować zdarzenie, które będzie kojarzone z innymi zdarzeniami; może wysłać do administratora ostrzeżenie (e-mail, pager lub telefon komórkowy); może wreszcie uruchomić określony program lub skrypt.

Jak widać oprogramowanie IDS typu host-based może być doskonałym uzupełnieniem takich rozwiązań jak IDS typu network-based, czy zapory. Słowo uzupełnienie zostało tu użyte celowo, ponieważ trudno sobie wyobrazić sytuację, że w systemie nie zainstalowano innych narzędzi chroniących sieć przed włamaniami. Narzędzi, które wcześniej określono jako pierwszą linię obrony.