Page 5 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 5
ta tưởng. Đầu tiên, IDS được nhìn nhận như là một cái
chuông báo trộm mà có thê thông báo cho bạn biết khi nào
thì bạn bị tấn công. Tuy nhiên, những hệ thống IDS hiện
đại thì phức tạp hơn nhiều và ít người có thể đồng ý rằng
nó có mức độ giông như một cái chuông báo trộm truyền
thống đáng tin cậy. Nếu sự giốhg nhau là cùng được sử
dụng, thì một hệ thống IDS trông giổng như những chiếc
camera chống trộm hơn là một cái chuông, những người có
trách nhiệm có thể quan sát chúng và đáp trả cho những
đe doạ xâm nhập. Thực tê thì dường như IDS chỉ nói cho
chúng ta biết rằng mạng đang bị nguy hiểm. Và điều quan
trọng để nhận ra đó là một vài cuộc tấn công vào mạng đã
thành công nếu hệ thống không có IDS. Và như chúng ta
đã thấy, một mạng có thể trở thành thiên đường cho các
hacker trong hàng năm mà chủ nhân của nó vẫn không hề
hay biết. Giá trị chính của một hệ thống phát hiện xâm
nhập theo quan điểm của chúng tôi đó là nó biết được
chuyện gì sẽ xảy ra. Phải, một hệ thống IDS có thể giúp
chúng ta ngăn ngừa các sự kiện khi nó chưa xảy ra, cung
cấp các giải pháp cho mạng và host, và thậm chí cũng có
thể hoạt động như một cái chuông báo động (với những
giới hạn tương ứng). Tuy nhiên, chức năng chính của nó là
thông báo cho bạn biết về các sự kiện có liên quan đến an
ninh hệ thống đang sắp sửa xảy ra bên trong mạng và hệ
thống mà bạn kiểm soát. Trong chương này sẽ cho chúng
ta cái nhìn tổng quan về IDS bao gồm cả những điểm
mạnh và điểm yếu của chúng. Chúng ta sẽ đề cập đến cả
network IDS (nhiều khi được đề cập đến như một sniffer)
và cả host IDS (phân tích log, kiểm tra tích hỢp và nhiều
thứ khác). Sự khác nhau chủ yếu giữa network IDS và
host IDS đó là dữ liệu mà nó tìm kiếm. NIDS nhìn vào
toàn cảnh các chuyển dịch trên mạng, trong khi host IDS
thì quan sát các host, hệ điều hành và các ứng dụng.
Trong thực tế, nó được chia cắt ra nhiều lĩnh vực khác
