Đồ án Hệ thống phát hiện xâm nhập trái phép trên mạng (NIDS)

sản phẩm IDS có thể được phân loại theo dạng phòng ngừa hay dạng đối phó (phản ứng lại sau khi đã bị xâm nhập). Chúng cũng có thể được phân loại theo tầm quan trọng trong việc quét tìm trên mạng và hệ thống. Các công cụ IDS được đề cập trong phần này thuộc một trong hai loại sau: các hệ thống phát hiện xâm nhập và các máy quét tìm điểm dễ bị xâm phạm. Xa hơn nữa ta chia chúng thành các hệ thống dựa trên mạng và trên host. Như được chỉ ra trên hình 2 các máy quét điểm dễ bị xâm phạm có thể chạy tại bất kỳ thời điểm nào vì chúng ta cho rằng một điểm dễ bị xâm phạm luôn tồn tại cho tới khi nó được sửa chữa. Mặt khác một sự xâm phạm khai thác một điểm dễ bị xâm phạm và cần phải được dò tìm càng sớm càng tốt sau khi nó được bắt đầu. Ví lý do này các công cụ dò tìm xâm nhập cần được chạy một cách thường xuyên hơn một máy quét điểm dễ bị xâm phạm. Đó là lý do tại sao hầu hết các nhà cung cầp sản phẩm IDS cố gắng làm cho các công cụ của họ có khả năng hoạt động trong thời gian thực. Hình 2: Technology Landscape Chi tiết các hệ thống dò tìm sự xâm phạm Một hệ thống phát hiện xâm nhập kiểm tra hoạt động của mạng hoặc của hệ thống để tìm ra các cuộc tấn công hay xâm nhập có thể xảy ra. Các hệ thống dò tìm xâm nhập có thể là network-based hay host-based. Các nhà cung cấp mới chỉ bắt đầu việc tích hợp hai công nghệ này. Hệ thống dò tìm xâm phạm dựa trên mạng khá thông dụng hơn, nó thực hiện kiểm tra thông qua giao thông mạng để tìm ra dấu hiệu xâm nhập. Các hệ thống host-based xem xét các user và quả trình hoạt động ngay trên máy cục bộ để xác định dấu hiệu xâm nhập. Mỗi một loại đều có một điểm mạnh riêng của mình. Chúng ta sẽ xem xét tất cả loại đó. Các hệ thống IDS thường sử dụng 3 loại công cụ phân tích có giá trị, đó là: Phân tích dựa trên dấu hiệu hoặc sự kiện. Phân tích thống kê Các hệ thống có khả năng tương thích Dựa trên dấu hiệu hoặc sự kiện, chức năng các hệ thống phải giống như một phần mềm phòng chống virus mà hầu hết mọi người đều rất quen thuộc. Những nhà cung cấp đưa ra một danh sách các mẫu mà nó cho rằng đáng nghi hay có dấu hiệu của một cuộc tấn công; IDS chỉ đơn thuần quét trong môi trường để tìm ra một dấu hiệu cho các mẫu đã được biết đến. Sau đó IDS sẽ trả lời bằng cách thực hiện một thao tác xác định người dùng, gửi một cảnh báo hoặc thực hiện logging phụ. Đây là loại hình thông dụng nhất của hệ thống phát hiện xâm nhập. Một hệ thống phân tích thống kê xây dựng các mô hình thống kê của môi trường như là độ dài trung bình của một phiên telnet.. sau đó tìm kiếm sự chênh lệch với các giá trị thông thường. Các hệ thống có khả năng tương thích khởi đầu với các quy tắc được tổng quát hoá cho môi trường, sau đó học hoặc làm thích nghi, các điều kiện cục bộ mà về phương diện khác có thể không thông dụng. Sau khi bắt đầu quá trình học hệ thống hiểu được cách mà mọi người tương tác với môi trường sau đó cảnh báo cho người điề hành về các hoạt động bất thường. Tuy nhiên bạn vẫn cần phải chú ý rằng IDS sẽ không có cả các hành động nghi ngờ và các dấu hiệu cảnh báo khi không có điều gì sai xảy ra. Đó là lý do vì sao các tổ chức vẫn luôn có một qui trình của con người tương tác với IDS để ước lượng môi trường điều hành. Sau đây sẽ xem xét tổng quan, ưu điểm, nhược điểm các loại IDS đã kể ra ở trên: Network-based IDS (NIDS) NIDS thường có hai thành phần logic là bộ cảm biến và trạm quản lý. Bộ cảm bến đặt tại một đoạn mạng, kiểm soát các cuộc giao vận nghi ngờ trên đoạn mạng đó. Trạm quản lý nhận các tín hiệu cảnh báo từ bộ cảm biến và trình bày nó cho một điều hành viên. Bộ cảm biến thường được dành cho các hệ thống chỉ tồn tại để giảm sát hoạt động của mạng. Một số sự hiển thị thường là một giao diện tới một công cụ quản trị mạng ví dụ như HP Overview, tuy nhiên một số trường hợp đó lại là một hướng dẫn được thiết kế để giúp người điều hành phân tích vấn đề. Hình 3: Sơ đồ miêu tả sự bố trí của một network based IDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát trong một mạng internal. Ưu điểm Các hệ thống phát hiện xâm nhập có thể dò được một số loại tấn công sử dụng mạng. Chúng rất tốt trong việc dò các truy cập trái phép hoặc một số loại truy cập vượt quá sự cho phép. Một hệ thống network-based IDS không yêu cầu thay đổi các server hoặc host đưa ra. Đây chính là một điểm thuận lợi vì các server đưa ra thông thường có các dung sai hoạt động đóng đối với CPU, các thiết bị vào ra và dung lượng đĩa; cài đặt các phần mềm phụ có thể gây vượt quá dung lượng của hệ thống. IDS không khó thực hiện đối với bất cứ một dịch vụ hay một tiến trình nào được đưa ra vì một network-based IDS không hoạt động như một router hay các thiết bị khó tính khác. Lỗi hệ thống không có một ảnh hưởng đáng kể nào đối với công việc. Một khía cạnh của lợi ích đó là bạn có thể gặp ít sự chống cự hơn từ các người khác trong tổ chức. Sự rủi ro trong việc tồn tại các chu trình nguy cấp với một hệ thống mạng thấp hơn với một hệ thống host. Các hệ thống network-based IDS hướng về tính độc lập nhiều hơn các hệ thống host-based. Chúng chạy trên một hê thống chuyên dụng dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trong mạng của bạn tại một vị trí cho phép nó kiểm soát các cuộc giao vận nhạy cảm. Nhược điểm Một hệ thống network-based IDS mặt khác cũng có những hạn chế của nó. Nó chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua một lượng các ssensor để có thể bao phủ hết toàn mạng, và đây là một nhược điểm lớn về chi phí và mỗi sensor đều rất đắt. Các hệ thống phát hiện xâm nhập mạng hướng tới sử dụng phân tích tín hiệu để đáp ứng các yêu cầu hiệu năng. Nó sẽ dò các cuộc tấn công các chương trình thông dụng từ các nguồn bên ngoài, nhưng nó không đầy đủ để dò các luồn thông tin phức tạp hơn. Nó yêu cầu khả năng mạnh hơn để kiểm tra môi trường. Một hệ thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệu lớn hơn trở về hệ thống phân tích trung tâm. Thỉnh thoảng điều đó có nghĩa là một gói được kiểm soát sẽ sinh ra một lượng lớn hơn tải phân tích. Rất nhiều các hệ thống như vậy sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các giao vận được truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng thái hoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế. Điểm bất lợi lànó sẽ cung cấp rất ít các điều phối viên giữa các bộ cảm ứng; bất kỳ một sensor nào cũng không biết được việc một sensor khác dò được một cuộc tấn công. một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc phức tạp. Một hệ thống network-based IDS có thể gặp khó khăn trong việc xử lý các cuộc tấn công trong một phiên được mã hoá. Thật may mắn chỉ có rất ít các cuộc tấn công xảy ra trong một phiên giao vận bị mã hoá ngoại trừ tấn công vào các web server yếu. Host IDS Hệ thống host-based IDS tìm kiếm dấu hiệu của sự xâm nhập vào một host cục bộ. Thừơng sử dụng các cơ chế kiểm tra và logging như một thông tin nguồn để phân tích. Chúng tìm kiếm các hoạt động bất thường hạn chế host cục bộ như là login, truy nhập file không thích hợp, bước leo thang các đặc quyền không được chấp nhận.. Kiến trúc IDS này thường sử dụng các cơ chế rule-based (dựa trên các qui tắc) để phân tích các thao tác, một ví dụ của các qui tắc này là “đặc quyền của người sử dụng cấp cao (surperUser) chỉ có thể đạt được thông qua lệnh su”. Như vậy những cố gắng liên tục để login vào account root có thể đựơc coi là một cuộc tấn công. Ưu điểm Một hệ thống host-based IDS có thể là một công cụ cực mạnh để phân tích các cuộc tấn công có thể xảy ra. Ví dụ như thỉnh thoảng nói chính xác kẻ tấn công làm gì, những lệnh nào được hắn thi hành, các file nào được mở và hệ thống nào yêu cầu hắn thực hiện. Một hệ thống host-based IDS thương cung cấp nhiều thông tin chi tiết và xác đáng hơn một hệ network-based. Host-based IDS có thể được sử dụng trong các môi trường mà việc phát hiện các xâm nhập rõ ràng là không cần thiết hoặc nơi mà dải tần rộng không có giá trị đối với các sensor để phân tích các cuộc truyền thông. Các hệ thống host-based có thể hoàn toàn độc lập. Nó cũng cho phép các hệ thống host-based trong một số trường hợp chạy từ những phương tiện chỉ được đọc, điều này ngăn chặn kẻ tấn công vô hiệu hoá hệ thống IDS. Cuối cùng một hệ thống host-based IDS có thể ít rủi ro hơn khi cấu hình với một đáp ứng hoạt động như là kết thúc một dịch vụ hay log of một uer sai phạm. Một hệ thống host-based IDS khó có thể lừa vượt qua một giới hạn truy cập từ các nguồn hợp pháp. Nhược điểm Các hệ thống host-based yêu cầu phải được cài đặt trên các thiết bị đặc biệt mà bạn muốn bảo vệ. Ví dụ như nếu bạn có một server tài nguyên mà bạn muốn bảo vệ bạn cần phải cài đặt hệ thống IDS trên server đó. Như đã đề cập ở trên điều này sẽ đặt ra một vấn đề về dung lượng, trong một số trường hợp nó còn gây ra các vấn đề về an ninh.. Một vấn đề khác kết hợp với các hệ thống host-based là nó hướng đến việc tin vào logging mặc định và năng lực kiểm soát của server. Nếu như server không được cấu hình để thực hiện logging đầy đủ và thực hiện giám sát, bạn cần phải thay đổi cấu hình của có thể là một máy mà đó là một vấn đè quản ls thay đổi cực lớn. Hệ thống host-based tương đối đắt. Nhiều tổ chức không có đủ nguồn tài chín để bảo vệ toàn bộ các đoạn mạng của mình sử dụng các hệ thống host-based. Những tổ chức đó phải rất thận trọng trong việc chọn các hệ thống nào để bảo vệ. Nó có thể để lại các lỗ hổng lớn trong mức độ bao phủ phát hiện xâm nhập. Ví dụ như một kẻ tấn công trên một hệ thống láng giềng không được bảo vệ có thể đánh hơi thấy các thông tin xác thực hoặc các tài liệu dễ bị xâm phạm khác trên mạng. Cuối cùng một hệ thống host-based hầu như hoàn toàn không biết gì về môi trường mạng. Như vậy đòi hỏi thời gian phân tích để ước lượng thiệt hại từ một sự xâm phạm tiêm tàng tăng tuyến tính với so lượng các host cần bảo vệ...Ví dụ ta cần một thời gian t để nghiên cứu về tai nạn trên một hệ thống, sẽ mất thời gian 2t để nghiên cứu trên 2 hệ thống,... File Integrity Checker Một phương pháp kiểm tra tính toàn vẹn của file (file integriy checker) kiểm tra file trên một máy tính để xác định xem liệu nó có bị thay đổi không so với lần cuối cùng thiết bị này hoạt động. Thiết bị kiểm tra tính toàn vẹn giữ một cơ sở dữ liệu giá trị băm (hash value) của mỗi file. Mỗi khi thiết bị được chạy nó sẽ tính toán lại giá trị băm và so sánh với giá trị được lưu trữ. Nếu hai giá trị này khác nhau file đó đã bị thay đổi, nếu hai gia trị như nhau thì file chưa bị thay đổi. Một hàm băm là một qui trình toán học nhằm giảm dãy các byte trong một file thành một số có giá trị phù hợp. Các file giống nhau luôn cho ra các giá trị băm giống nhau và bất kỳ một sự thay đổi nhỏ nào trên file sẽ sinh ra một giá trị băm khác. Không giống như mã hóa, hàm băm là hàm một chiều, bạn không thể có được file gốc từ một giá trị băm. Một số hàm băm an toàn hơn các hàm khác. Những hàm băm rất an toàn mà đạt được các yêu cầu toán học đặc biệt được gọi là các hàm băm an toàn mật mã. Một trong các yêu cầu đó là việc tính toán ra sự xung đột hai đầu vào hàm băm cho cùng một giá trị là rất khó (thuật ngữ kỹ thuật là sự tính toán không thể thực hiện được). Điều đó có nghĩa là nếu như kẻ tấn công thay đổi file, hắn không thể thay đổi bằng cách nào đó lừa thiết bị kiểm tra rằng file đó vẫn không bị thay đổi. Ưu điểm Sự tính toán không thể thực hiện được để đánh bại tính toán của thiết bị kiểm tra tính toàn vẹn. Điều này làm cho nó trở thành một công cụ rất mạnh để phát hiện thay đổi của file trên một máy tính. Nó rất mạnh, trên thực tế nó là một trong những công cụ quan trọng nhất bạn có thể sử dụng để phát hiện sự lạm dụng của một hệ thống máy tính. Thiết bị kiểm tra tính toàn vẹn có thể được cấu hình để theo dõi mọi thứ trong hệ thống hoặc chỉ những file quan trọng. Nó thực sự rất mềm dẻo. Một khi kẻ tấn công làm tổn hại tới hệ thống chúng muốn thực hiện hai điều. Đầu tiên chúng xoa bỏ các dấu vết của mình, nghĩa là chúng thay đổi các file nhị phân, file thư viện hay các file log để xoá đi thực tế rằng chúng đang hoặc đã ở trên hệ thống. Thứ hai là chúng sẽ tạo ra các thay đổi để chắc chắn rằng chúng có thể tiếp tục truy nhập vào hệ thống. Một thiết bị kiểm tra tính toàn vẹn của file được cấu hình một cách đúng đắn sẽ dò được cả hai thao tác trên. Nhược điểm Các thiết bị kiểm tra tính toàn vẹn tin tưởng vào các dữ liệu đựơc chứa trên các máy tính cục bộ. Giống như file log, các dữ liệu này (cơ sở dữ liệu các giá trị băm) dễ bị tấn công để thay đổi trên hệ thống. Giả sử kẻ tấn công đạt đựơc đặc quyền user cấp cao trong hệ thống của bạn, kẻ tấn công có thể tìm ra thiết bị kiẻm tra tính toàn vẹn, thực hiện một số thay đổi và cho thiết bị chạy lại để tạo lại cơ sở dữ liệu giá trị băm. Khi người quản trị chạy công cụ này sẽ không có một báo lỗi thay đổi nào xảy ra. Một cách để giải quyết vấn đề này là hãy làm cho dữ liệu của bạn là một tài liệu chỉ được đọc ví dụ như ghi lên một đĩa CD (chú ý không phải là đĩa rewritable). Cách này hợp lý đối với hầu hết các trạm và các hệ thống không đổi nhưng đối với hầu hết các máy đưa ra thì đó là một điều phiền phức không thể tin được. Thiết bị kiểm tra phải được cấu hình cho từng hệ thống một. Thông thường đây là một công việc phức tạp và tốn nhiều thời gian. Nếu như hệ điều hành không tốt trong việc thực hiện toàn vẹn hệ thống thì việc cài đặt càng trở nên khó hơn nhiều. Một khi thiết bị đã được cấu hình nó phải được chạy thường xuyên. Tuỳ thuộc vào hệ điều hành những thay đổi đơn giản hoặc các thao tác thông thường có thể được báo cáo từ hàng chục tới hàng ngàn lần của sự thay đổi. Ví dụ như một thiết bị kiêm tra tính toàn vẹn chỉ chạy trước khi nâng cấp MS-Outlook trong một hệ Windows NT, sau khi cài đặt số báo cáo vượt quá 1800 thay đổi. Cuối cùng thiết bị kiểm tra tính toàn vẹn tiêu thụ một lượng đáng kể nguồn tài nguyên của hệ thống. Rất nhiều quản trị không muốn chạy các thiết bị kiểm tra thường xuyên, điều đó sẽ hạn chế các tính năng của nó, bởi vì nếu một thiết bị được chạy một lần mỗi tháng nó sẽ báo rất nhiều sự thay đổi mà một cuộc tấn công thực sự đã có một cơ hội tốt để tiến hành mà không có một sự chú ý nào cả. Vulnerability Scanners Một vulnerability scanner khác với một hệ thống phát hiện sự xâm nhập, như đã đề cập ở trên, một vulnerability scanner tìm kiếm các cấu hình trạng thái còn IDS tìm kiếm sự lạm dụng nhất thời hay các hoạt động không bình thường. Một vulnerability scanner có thể tìm kiếm một NFS có thể bị xâm hại dã được biết đến bằng cách kiểm tra các dịch vụ có giá trị và cấu hình trên hệ thống từ xa. Một IDS, xử lý những tính dễ bị xâm hại tương tự nhau,chỉ báo cáo về sự tồ tại của một điểm dễ bị xâm nhập khi một kẻ tấn công cố gắng khai thác nó. Vulnerability scanner, dù là network scanner hay host scanner đều cho các tổ chức một cơ hội hàn gắn các vấn đề trước khi trước khi chúng nảy sinh hơn là tác động trở lại sự xâm phạm hoặc lạm dụng đang diễn tiến. Một hệ thống phát hiện xâm nhập dò các cuộc xâm nhập đang diễn ra, trong khi một vulnerability scanner cho phép tổ chức ngăn chặn sự xâm nhập. Vulnerability rất hữu ích trong các tổ chức không có khả năng tốt phản hồi các sự kiện bất ngờ. Network Vulnerability Scanner Một network vulnerability scanner điều khiển từ xa bằng cách kiểm tra giao diện mạng trên một hệ thống từ xa. Nó sẽ tìm kiếm các dịch vụ dễ bị xâm phạm chạy trên máy từ xa đó và báo cáo về điểm có thể dễ bị xâm phạm. Ví dụ như ta biết rexd là một dịch vụ yếu, một network vulnerability scanner sẽ cố gắng kết nối tới dịch vụ rexd tại hệ thống đích. Nếu như kết nối thành công thì network vulnerability scanner sẽ báo cáo về một rexd dễ bị xâm hại. Từ khi một máy quét điểm dễ bị xâm phạm trên mạng có thể chạy trên một máy đơn trong mạng, nó có thể được cài đặt mà không tác động vào các quản trị cấu hình của các máy khác. Thông thường các máy quét này được sử dụng bởi các kiểm toán viênva các nhóm an ninh vì họ có thể cung cấp một cái nhìn của người bên ngoài về các lỗ hổng bảo mật trong một máy tính hoặc trong một mạng. Ưu điểm Các máy quét điểm dễ bị xâm hại trên mạng có thể báo cáo về nhiều kiến trúc đích khác nhau. Một số làm việc với router, một số làm việc với các hệ thống Unix, một số với các hệ NT hoặc Window trên các nền khác. Network vulnerability scanner nói chung rất dễ cài đặt và bắt đầu sử dụng. Không giống như các hệ thống host-based thường xuyên yêu cầu cài đặt các phần mềm hoặc cấu hình lại, một hệ thống network-based có thể bị rơi vào một nơi nào đó trong mạng. Dễ dàng gắn (plug) giao diện vào một switch và khởi động máy. Nhược điểm Network vulnerability scanner gần như dành riêng cho các hệ thống dựa trên dấu hiệu.Giống như một IDS dựa trên dấu hiệumột vulnerability scanner dựa trên dấu hiệu chỉ có thể phát hiện các điểm dễ bị xâm phạm được lập trình để nhận diện. Nếu như một điểm dễ bị xâm hại mới xuất hiện thì như nó vẫn thường hành động, sẽ có một cửa sổ cơ hội cho kẻ tấn công trước khi nhà cung cấp có thể cập nhật dấu hiệu (và khác hàng download và cài đặt dấu hiệu mới đó) Nếu như khách hàng lơ đễnh với các dấu hiệu quét điểm dễ bị xâm hại của họ như thế rất nhiều tổ chức sdẽ có thể bị làm hại bởi các cuộc tấn công thậm chí ngay cả khi họ thường xuyên chạy các máy quét điểm dễ bị xâm phạm. Một cuộc phân tích gần đây chỉ ra rằng 90% các web server chạy IIS vẫn có thể bị tổn thương do các tài liệu được đưa ra và tính an toàn có thể bị tổ thương trâm trọng. Điều này kiến cho các nhà cung cấp cần phải sản xuất ra các miếng vá và các tư vấn bảo mật. Một network vulnerability scanner chỉ có thể chỉ ra các vấn đề có thể, các tổ chức vẫn phải xử lý các vấn đề đó. Các vấn đề tiềm tàng khác trong một network vulnerability scanner đó là đầu ra vẫn yêu cầu khả năng trình diễn có kinh nghiệm. Tất cả các môi trường có các yêu cầu hoạt động khác nhau và có các khả năng bảo mật dễ bị xâm phạm khác nhau. Khi một network vulnerability scanner báo cáo về một điểm dễ bị xâm phạm đặc biệt thì mạng của tổ chức hoặc các thao tác tổ chức cần phải định lượng báo cáo đó trong ngữ cảnh của môi trường hoạt động của hệ thống. Các máy quét điểm dễ bị xâm phạm đã được biết đến để tháo bỏ các hệ thống cuối. Một số sự thi hành IP không đủ mạnh để xử lý các kết nối đồng thời..Cuộc giao vận sinh ra bởi việc kiểm tra cổng không an toàn đoi khi sẽ làm đổ vỡ máy Cuối cùng một network vulnerability scanner hướng tới việc chứa một lượng lớn các dữ liệu điểm dễ bị xâm phạm. Nếu ai đó từng đột nhập vào một hệ thống quét thì việc làm hại các máy khác trong mạng chỉ là một trò trẻ con. Bảo vệ các máy quét để ngăn chặn sự sử dụng trái phép các dữ liệu quét. Host Vulnerability Scanner Một host vulnerability scanner khác một network vulnerability ở chỗ nso bị hạn chế hoàn toàn trong một hệ điều hành cục bộ.Một network vulnerability scanner yêu cầu máy đích có thể truy cập được từ trên mạng hợp lệ cho hoạt động của nó, một host vulnerability scanner không như vậy. Host vulnerability scanner là các phần mềm đóng gói được cài đặt trên các hệ điều hành đặc biệt.Khi các phần mềm đó được cài đặt, nó sẽ được cấu hình để chạy tại bất kỳ thời điểm nào, ngày cũng như đêm. Thường thường các thao tác quét được thực hiện bởi loại công cụ này được lập lịch để chạy với mức độ ưu tiên để giảm sự xung đột. Ưu điểm Host vulnerability scanner hướng tới sự hoà hợp và chính xác cho một hệ điều hành nhất định được đưu ra. Nó có thể thường xuyên nói cho người sử dụng biết miếng vá nào cần được sử dụng để sửa chữa những điểm dễ bị xâm phạm được nhận dạng trong khi một hệ thống network vulnerability scanner đôi khi chỉ đưa ra một hướng dẫn chung. Khi bạn muốn lựa chọn mua sản phẩm, hãy xem xét các báo cáo đơn giản về hệ điều hành của bạn để xác định có bao nhiêu thông tin chứa trong các báo cáo đó. Độ sâu và độ chính xác của các báo cáo là một trong các tiêu chí để bạn lựa chọn. Host vulnerability scanner không tiêu thụ băng thông mạng khi bạn chạy chúng. Tất cả các tiến trình đều bị hạn chế trong hệ thống host cục bộ. Host vulnerability scanner không giống như network scanner tạo ra các ngăn xếp IP trên hệ thống đích. Một số hệ điều hành có các ngăn xếp IP được bổ xung yếu và tồi tệ kết hợp với các giao diện mạng của chúng, gửi một dung lượng lớn của khả năng tải hoặc các cờ tiêu đề TCP không thông dụng có thể gây treo giao diện bắt khởi động lại. Host vulnerability scanner ít thích hợp để một kẻ xâm phạm sử dụng để chống lại bạn. Khi một kẻ tấn công đã phá vỡ một hệ thống và tìm ra network vulnerability scanner hoặc các báo cáo từ scanner đó nó thường sưu dụng công cụ hoặc các báo cáo đó để tấn công các hệ thống khác trong tổ chức của bạn. Một công cụ host-based cung cấp rất ít thông tin hữu ích để mở rộng cuộc tấn công. Nhược điểm Host vulnerability scanner lại là một hệ thống dựa trên dấu hiệu. Chúng tìm kiếm các cấu hình hệ thống nguy hiểm đã xác định và báo cáo về kẻ giả mạo mục đích là để giảm nhẹ các luồng riêng biệt đó. Các đòi hỏi về thủ tục và điều hành hệ thống cục bộ có thể yêu cầu tính mềm dẻo trong việc tìm và áp dụng các giải pháp lên bất kỳ điểm dễ bị xâm phạm được đưa ra nào. Cài đặt Host vulnerability scanner đòi hỏi sự cộng tác của quản trị hệ thống. Khi mà phần mềm được chạy thường xuyên với một đặc quyền , quản trị hệ thống của mỗi máy cần phải đồng ý với mục đích và cấu hình của công cụ. Ở nhiều tổ chức đây là một nhiệm khó khăn. Giống như bất cứ một hệ thống host-based nào, những kẻ tấn công có thể thay đổi máy quét điểm nhạy cảm để nó không báo cáo về các điểm dễ bị tấn công mà kẻ tấn công muốn khai thác. Một kết quả tất yếu là máy quét điểm nhạy cảm không thể bảo vệ hệ thống khỏi sự phá hoại khi một scanner được cài đặt. NIDS (Network - based IDS) Lí do lựa chọn NIDS Với các kiểu hệ thống IDS (NIDS-hệ thống IDS trên mạng, HIDS-hệ thống IDS trên một máy trạm, và Hybrid IDS-lai của hai hệ thống đó), hệ thống NIDS là giải pháp được chọn lựa vì các lí do sau: Cung cấp mức độ bao phủ rộng nhất vì nó có thể được đặt tại các điểm nối chính trong mạng vì thể thay vì đặt một hệ thống host-based hay hybrid agent trên mỗi server trong DMZ bạn có thể đặt một cảm biến mạng đơn trong DMZ Rất dễ triển khai như các bộ cảm biến trong một máy tính độc lập và rất nhiều NIDS ngày nay có giá trị như các thiết bị, hơn thế nữa nó làm giảm tổng thời gian và giả thành triển khai. Các Host IDS và Hybrid IDS yêu cầucài đặt các agent trên các máy cần được bảo vệ và mỗi máy được cài đặt đó cần được cập nhật thường xuyên. Cung cấp chi tiết hơn về giao thông trong mạng để trợ giúp quyết định và xã định chính sách thích hợp.HostIDS và Hybrid IDS chỉ cung cấp thông tin trên một máy nào đó hoặc trên server và HIDS không cung cấp bất cứ thông tin nào về giao thông Thị trường NIDS đã rất trưởng thành và đã phục hưng để phát triển một số các công nghệ bảo mật phức tạp nhất trong nền công nghiệp. HIDS rõ ràng vẫn đang ở các công nghệ đơn giản với hầu hết những cải tiến đều từ việc giải quyết các vấn đề về triển khai và quản lý các agent. Các công nghệ Hybrid vẫn rất mới và vẫn cần đầu tư vào các chiến lược triển khai và quản trị. Nhiều hệ thống dò tìm sự xâm nhập trên mạng có thể block một cuộc tấn công để ngăn chặn kẻ tấn công truy cập thành công. Những phương pháp block này thay đổi một cách hiệu quả nhưng có thể ngay lập tức phản ứng lại kẻ tấn công (có khả năng đáp ứng yêu cầu thời gian thực) bằng cách đso hạn chế những phá hoại có thể của kẻ tấn công. Do HIDS dựa trên việc phân tích các file log nên nó luôn luôn không đáp ứng được thực tế. Các hệ thống Hybrid có khả năng đáp ứng yêu cầu thời gian thực nhưng nó lại chỉ có thể bảo vệ những host riêng lẻ. NIDS có thể tương tác với các công nghệ vành đai khác để tăng tính vững mạnh của vành đai của doanh nghiệp. NIDS có tác dụng đòn bẩy với sự phong toả đang tồn tại trong các công nghệ routing và firewall bằng cách tự động cập nhật các chính sách vành đai khác nhằm phản ứng lại các mối đe doạ thời gian thực. Hệ thống host-based bị giớii hạn trong một thiết bị đơn và không thể hỗ trợ các hệ thống bảo vệ đang tồn tại trong các công nghệ an toàn vành đai. Kiến trúc NIDS và hoạt động Mọi hệ thống IDS đều dựa trên kiến trúc đa lớp (multi-tier) của kỹ thuật dò tìm (Detection Technology): phép phân tích dữ liệu, lớp quản trị cấu hình và giao diện người dùng đồ hoạ (GUI). Trong các tổ chức hoặc quá trình phát triển các dịch vụ quản trị, mỗi lớp của hệ thống IDS sẽ được phát triển độc lập, để thuận tiện cho các thao tác, đảm bảo hiệu năng, và hỗ trợ cho các luồng công việc có tổ chức. Các kỹ thuật dò tìm là khác nhau tuỳ theo các kiểu hệ thống IDS khác nhau: Sensors : là phần mềm phát triển (kỹ thuật dựa trên thiết bị), cho phép NIDS giám sát lượng tải trên các mạng tốc độ cao. Các Sensor được đặt tại một vị trí đặc biệt trên vành đai của mạng hoặc bên trong cơ cấu mạng