یک سیستم تشخیص نفوذ یا IDS اطلاعات را از کامپیوترها و یا یک شبکه به منظور شناسایی امکان نقض سیاست های امنیتی، شامل دسترسی غیر مجاز و سوء استفاده های مختلف، جمع آوری نموده و مورد تجزیه و تحلیل قرار می دهد. یک سیستم تشخیص نفوذ همچنین به عنوان یکPacket Sniffer مورد استفاده قرار گرفته و در این مد نیز کار می کند و قادر به رهگیری بسته در امتداد رسانه های ارتباطی مختلف و پروتکل ها در ساختار IP/TCP می باشد. بسته ها در سیستم تشخیص نفوذ پس از مانیتور شدن مورد تجزیه و تحلیل قرار می گیرند. یک IDS همچنین هنگام شناسایی یک نفوذ و رخداد های مشکوک، یک پیام هشدار صادر می کند.
سیستم تشخیص نفوذ چگونه کار می کند؟
هدف اصلی استفاده از یک IDS نه تنها جلوگیری از نفوذ غیر مجاز بوده بلکه بلافاصله در هنگامی که حمله جریان دارد به مدیر هشدار می دهد. یک مدیر می تواند روش ها و تکنیک هایی که توسط نفوذگر استفاده شده را شناسایی نماید IDS ها دارای سنسور هایی به منظور تشخیص امضاء (signature) و برخی IDS های پیشرفته دارای سیستم تشخیص فعالیت های رفتاری مخرب می باشند. آنها حتی اگر امضاء مطابقت نداشته باشد، سیستم تشخیص نفوذ می تواند احتمال وقوع حمله را در موارد خاص به مدیر شبکه گزارش نماید. اگر امضاء مطابقت داشت، سپس آن را به مرحله بعد حرکت داده یا اتصالات مربوطه را از آدرس IP منبع قطع نموده، بسته حذف شده و یک پیام هشدار به مدیر شبکه ارسال می نماید. پس از انطباق امضاء، سنسورها بسته را جهت تشخیص ناهنجاری به مرحله بعد هدایت می کنند که آیا بسته دریافتی یا درخواست مورد نظر با آن منطبق هست یا خیر، اگر بسته از مرحله تشخیص ناهنجاری عبور کرد، به مرحله تحلیل پروتکل Stateful می رسد. اگر در این مرحله ساختار پروتکل در تجزیه و تحلیل دچار مشکلی نبود، سپس بسته از طریق سوییچ به شبکه منتقل خواهد شد. در این مرحله نیز در صورت بروز هر گونه مشکل، اتصالات از آدرس IP منبع قطع شده و بسته حذف می گردد و یک هشدار به مدیر ارسال خواهد شد.
راه های شناسایی یک نفوذ:
راه های شناسایی نفوذ از طریقه IDS به سه دسته تقسیم می شود.
شناسایی امضاء Signature Detection
این روش به عنوان تشخیص سوء استفاده هم شناخته می شود. این روش تلاش می کند تا با استفاده از امضاء هایی که برای هر نفوذ وجود دارد، رویدادهایی که از قصد سوء استفاده از یک سیستم را دارند، شناسایی نماید.
تشخیص ناهنجاری یا Detection Signature
این روش، نفوذ را بر اساس ویژگی های رفتاری ثابت کاربر تشخیص می دهد.
Detection Anomaly Protocol
این روش به ناهنجاری های خاص مربوط به یک پروتکل اشاره دارد. این مدل به تازگی با مدل IDS یکپارچه شده است. در این روش معایب خاص پروتکل های مدل IP/TCP در شبکه شناسایی می شوند.