IDS là hệ thống gì? Hoạt động trong lĩnh vực an ninh mạng, chắc chắn không ai là không biết đến khái niệm này. Hệ thống IDS đã được ra đời và ứng dụng để giải quyết các vấn đề như ngăn chặn xâm nhập trái phép, ăn cắp dữ liệu… Bài viết sau đây, Việt Tuấn sẽ cung cấp cho bạn đọc từ A-Z các thông tin xoay quanh hệ thống IDS.

1. IDS là hệ thống gì?

IDS là hệ thống gì? Đối với những người trong nghề thì khái niệm này không còn xa lạ. Tuy nhiên với những doanh nghiệp mới bắt đầu xây dựng 1 quy trình bảo mật dữ liệu thì IDS là 1 khái niệm rất quan trọng.

Là viết tắt của hệ thống phát hiện xâm nhập (Intrusion Detection System) - IDS là một công cụ hỗ trợ bảo mật hệ thống và cảnh báo khi có xâm nhập. Thường được tích hợp vào các hệ thống bảo mật khác, IDS giúp bảo vệ thông tin hệ thống, giúp phát hiện và cảnh báo xâm nhập.

2. Vai trò quan trọng của hệ thống IDS là gì?

Sau khi hiểu được IDS là hệ thống gì? chắc hẳn bạn đọc sẽ cần nắm rõ vai trò hay nhiệm vụ chính của IDS đối với các hệ thống mạng hiện nay.

IDS có những tính năng quan trọng đáng kể đến như:

Giám sát lưu lượng mạng và các hoạt động đáng ngờ.
Cảnh báo về các điểm bất thường cho hệ thống và quản trị mạng.
Tích hợp với các thiết bị tường lửa và phần mềm diệt virus để tạo ra một hệ thống bảo mật toàn diện.

Xem thêm bài viết: Tường lửa là gì? Những thông tin chuyên sâu về tường lửa

3. Chức năng chính của IDS là gì?

Hệ thống phát hiện xâm nhập (IDS) là một công cụ quan trọng để tăng cường bảo mật cho mạng và dữ liệu mạng. Chức năng chính của IDS là gì đã được chúng tôi tóm tắt để bạn đọc dễ hình dung:

Hệ thống IDS giúp giám sát lưu lượng mạng đáng ngờ và thông báo cho người quản trị mạng. Với tình trạng diễn ra các cuộc tấn công mạng diễn ra ngày càng tinh vi và thường xuyên, vai trò của hệ thống phát hiện xâm nhập toàn diện và hiệu quả là cực kỳ quan trọng.
IDS giúp tổ chức dữ liệu mạng quan trọng và xếp loại hoạt động nào quan trọng hơn. Nó cũng giúp tiết kiệm thời gian, giảm công sức thủ công và giảm thiểu lỗi của con người khi phát hiện xâm nhập.
IDS giúp phát hiện, sắp xếp và cảnh báo chuyên sâu về lưu lượng mạng vào/ ra. Qua đó giúp người dùng tiết kiệm thời gian, tối ưu tốt khối lượng công việc thủ công và giảm thiểu sai sót trong việc phát hiện xâm nhập khi phân tích thông tin quan trọng trong hàng nghìn nhật ký hệ thống.
IDS có thể lọc qua luồng lưu lượng để phát hiện và ngăn chặn xâm nhập, cải thiện hiệu suất mạng tổng thể và chống lại các hoạt động độc hại. Việc ứng dụng hệ thống IDS giúp tối ưu hóa việc phát hiện và ngăn chặn xâm nhập giúp người dùng tiết kiệm được thời gian, năng lượng và tài nguyên.

Có thể nói hệ thống IDS càng nắm bắt và hiểu được các hoạt động độc hại trên mạng của bạn, thì khả năng thích ứng với các cuộc tấn công ngày càng tinh vi sẽ cao hơn.

4 chức năng chính của IDS — *4 chức năng chính của hệ thống IDS*

4. Cách thức hoạt động của 1 hệ thống IDS tiêu chuẩn

Sau khi thu thập dữ liệu, hệ thống phát hiện xâm nhập (IDS) được thiết kế để phân tích lưu lượng mạng và so sánh với các mẫu lưu lượng đã biết về các cuộc tấn công. Phương pháp này, còn được gọi là tương quan mẫu (Pattern Correlation).

Khi hoạt động đáng ngờ hoặc tấn công độc hại được phát hiện, hệ thống IDS sẽ gửi báo động đến bộ phận quản trị CNTT để xác định nguồn gốc vấn đề và giải quyết ngăn chặn cuộc tấn công.

Các hệ thống IDS hiện nay chủ yếu sử dụng 2 phương pháp chính: Phát hiện xâm nhập dựa trên chữ ký và phát hiện xâm nhập dựa trên sự bất thường:

4.1 Hệ thống phát hiện xâm nhập dựa trên dấu hiệu (signature-based intrusion detection)

Được thiết kế để phát hiện các cuộc tấn công có thể xảy ra bằng cách so sánh, đối chiếu dữ liệu nhật ký lưu lượng mạng với các mẫu tấn công hiện có. Nếu đặc tính của hành động truy cập khớp với cơ sở dữ liệu, ngay lập tức hệ thống IDS sẽ cảnh bảo tới nhân viên quản trị CNTT.

Tìm hiểu thêm: Địa chỉ IP là gì

*Mô phỏng cách thức hoạt động signature-based intrusion detection*

4.2 Hệ thống phát hiện xâm nhập dựa trên sự bất thường (Anomaly-based intrusion detection)

Được thiết kế để xác định chính xác các cuộc tấn công không xác định, các phần mềm độc hại mới. IDS sử dụng các mô hình tin cậy để tạo ra các đường cơ sở cho hoạt động đáng tin cậy và so sánh với hành vi mới để phát hiện các hoạt động độc hại.

Tuy nhiên, cảnh báo giả có thể xảy ra khi sử dụng phương pháp này, do lưu lượng mạng hợp pháp chưa được xác định trước đó có thể bị xác định sai hoặc gắn mác độc hại.

*Mô phỏng cách thức hoạt động anomaly-based intrusion detection*

4.3 Hệ thống phát hiện xâm nhập toàn diện (Hybrid intrusion detection systems)

Hệ thống phát hiện xâm nhập toàn diện bao gồm cả 2 phương pháp phát hiện xâm nhập dựa trên chữ ký và dựa trên sự bất thường. Qua đó tăng cường khả năng ngăn chặn xâm nhập hệ thống, giúp phát hiện được nhiều mối đe dọa hơn.

Một hệ thống phát hiện xâm nhập toàn diện có thể nhận biết được các kỹ thuật chuyên sâu mà kẻ tấn công thường sử dụng để đánh lừa hệ thống, hợp pháp hóa các cuộc tấn công.

*Mô phỏng cách thức hoạt động hybrid intrusion detection systems*

5. Điểm qua các dạng tấn công IDS có thể phát hiện

5.1 Tấn công từ chối dịch vụ (Denial of Services)

Tấn công từ chối dịch vụ (viết tắt DoS) nhằm mục đích làm ngưng hoặc chặn tài nguyên của hệ thống đích. Kết quả cuối cùng là mục tiêu không thể truy cập và xử lý các gói tin được gửi đến. DoS có thể tấn công vào các mục tiêu khác nhau, bao gồm mạng, hệ thống và ứng dụng.

Tấn công mạng bằng phương pháp SYN flood là khi kẻ tấn công gửi liên tục các gói tin kết nối SYN đến hệ thống, làm cho máy chủ bị quá tải và không thể tiếp nhận thêm bất kỳ gói tin nào.
Tấn công phá hoại hệ thống bao gồm Ping of Death (gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping tới máy chủ) và Teardrop (gửi một loại gói tin có giá trị offset chồng chéo tới máy chủ, gây ra sự cố crash hoặc reboot). Những hình thức tấn công này tận dụng các lỗ hổng trên hệ điều hành để phá hoại và gây quá tải hệ thống
Tấn công vào ứng dụng bằng cách tận dụng các lỗ hổng, điểm yếu trên cơ sở dữ liệu hoặc trang web để gây ra sự cố hoặc phá hoại.

Tìm hiểu thêm: DDoS là gì? Các loại tấn công DDoS và cách phòng tránh

5.2 Scanning and Probe

Quét và thăm dò tự động được sử dụng để tìm kiếm các điểm yếu trên mạng bằng cách quét và kiểm tra các hệ thống có sẵn. Quá trình thăm dò có thể bao gồm việc ping đến các hệ thống và kiểm tra các cổng TCP hoặc UDP để phát hiện các lỗ hổng đã biết trước đó.

Tìm hiểu thêm thông tin về Ping qua bài viết: Ping là gì? Ý nghĩa và vai trò của chỉ số Ping trong hệ thống mạng

5.3 Password attack (Tấn công mật khẩu)

Tình trạng tấn công mật khẩu có 2 dạng tiêu biểu chính như:

Đánh cắp mật khẩu, cho phép cá nhân hay tổ chức khác có quyền truy cập vào toàn bộ thông tin trong mạng để chuộc lợi.
Đoán hoặc bẻ khóa mật khẩu: Kẻ tấn công sẽ thử nhiều lần với các mật khẩu khác nhau để tìm ra mật khẩu đúng. Kẻ tấn công sẽ cố gắng truy cập vào mật khẩu đã được mã hóa hoặc file chứa mật khẩu đã mã hóa, sau đó sử dụng chương trình đoán mật khẩu với thuật toán mã hóa để xác định mật khẩu đúng.

5.4 Chiếm đoạt thẩm quyền (Privilege-grabbing)

Sau khi xâm nhập thành công vào hệ thống, kẻ tấn công sẽ cố gắng chiếm đoạt thẩm quyền truy cập và tiến hành phá hoại hoặc đánh cắp thông tin quan trọng. Để đạt được mục đích này, chúng thường sử dụng các kỹ thuật như:

Đoán hoặc đánh cắp mật khẩu root hoặc admin.
Gây tràn bộ đệm, khai thác registry.
Tận dụng các lỗi của hệ điều hành, ứng dụng bằng cách sử dụng file hay script.

5.5 Cài đặt mã độc vào hệ thống

Có một số hình thức tấn công có thể cài đặt mã độc vào hệ thống. Thông qua đó, kẻ tấn công có thể thực hiện được các hành vi như lấy cắp thông tin, tấn công từ chối dịch vụ, xóa hoặc ghi đè dữ liệu, hoặc tạo lối vào bí mật cho lần truy cập sau. 2 dạng mã độc thông thường:

Virus vận hành tự động, thường tạo ra nhiều bản sao của các file hệ thống, ứng dụng hoặc dữ liệu.
Trojan Horse được che giấu dưới bộ mặt của 1 chương trình hữu ích, nhưng thực chất lại chứa mã độc và có thể gây hại cho hệ thống khi được khởi chạy.

5.6 Tấn công hạ tầng bảo mật (Security infrastructure attack)

Hạ tầng bảo mật cũng có thể bị tấn công dưới những hình thức như:

Tạo tường lửa trái phép.
Thay đổi tài khoản người dùng.
Thay đổi quyền truy cập của các tập tin.

6. Ưu điểm và nhược điểm của IDS là gì?

IDS là một công cụ quan trọng trong việc bảo vệ hệ thống mạng. Tuy nhiên, nó cũng có những ưu và nhược điểm cần được xem xét trước khi quyết định sử dụng.

Ưu điểm của IDS gồm:

Khả năng thu thập số liệu, bằng chứng hỗ trợ cho công tác
Phân tích và giải quyết sự cố.
Đưa ra cái nhìn toàn diện về hệ thống mạng và hỗ trợ kiểm tra các sự cố.

Tuy nhiên, hệ thống IDS vẫn còn tồn đọng những nhược điểm cần lưu ý để sử dụng hiệu quả:

IDS cần được cấu hình đúng để tránh báo động nhầm.
Khả năng phân tích traffic mã hóa của IDS còn tương đối thấp.
Chi phí phát triển và vận hành hệ thống cũng khá cao.

7. Các dạng IDS thông dụng hiện nay

Hệ thống IDS là gì? Câu hỏi đã được giải đáp xong, vậy các dạng IDS thông dụng hiện nay bạn đọc có thể tham khảo ngay sau đây. Có ba loại IDS chính là Network IDS (NIDS), Node Network IDS (NNIDS) và Host IDS (HIDS):

7.1 Network IDS và Node Network IDS

NIDS và NNIDS tập trung vào giám sát các lượt truy cập mạng và phát hiện các yếu tố tấn công. Chúng thường được đặt tại các điểm dễ bị tấn công và kiểm soát toàn bộ mạng con. Tuy nhiên, NIDS có thể không phát hiện được các tấn công được mã hóa và cần sự can thiệp thủ công của quản trị viên để cấu hình chính xác.

Hoạt động tương đồng với Network IDS (NIDS) tuy nhiên dạng NNIDS lại được ưu tiên sử dụng với một máy chủ trong một thời gian nhất định, chứ không phải trên toàn bộ mạng con.

7.2 Host IDS

Host IDS hay HIDS hoạt động trên hầu hết các thiết bị trong hệ thống có kết nối Internet và giám sát sâu hơn đối với các truy cập nội bộ. Nó được coi là lớp bảo mật thứ hai, chống lại các tấn công trót lọt qua hệ thống NIDS.

8. Điểm khác biệt giữa IPS, tường lửa và IDS là gì?

Khác biệt	IDS	IPS	Tường lửa
Vai trò	Hệ thống phát hiện xâm nhập	Hệ thống Ngăn chặn Xâm nhập	Hệ thống bảo mật mạng giám sát và kiểm soát lưu lượng mạng đến và đi dựa trên các quy tắc bảo mật được xác định trước
Thẩm quyền	Là một phần của các công cụ bảo mật lớn hơn và chỉ là một hệ thống giám sát	Bao gồm IDS cùng hệ thống kiểm soát phản hồi. IPS có khả năng ngăn chặn phát tán dựa vào nội dung của các xâm nhập	Chặn tất cả truy cập, sau đó cho phép một số loại truy cập nhất định Thiết lập một rào cản giữa một mạng nội bộ đáng tin cậy và mạng bên ngoài không tin cậy

Tìm hiểu thêm về hệ thống IPS: IPS là hệ thống gì?

9. Các thức triển khai hệ thống IDS trong doanh nghiệp bạn cần biết

IDS là hệ thống phát hiện xâm nhập có thể được triển khai tại nhiều vị trí khác nhau trên 1 hệ thống mạng.

9.1 Trường hợp 1: IDS đặt ở vị trí giữa router và firewall

Nếu đặt giữa thiết bị router và firewall, IDS có thể theo dõi lưu lượng của cả hai chiều và giúp phát hiện sự cố 1 cách kịp thời và nhanh chóng. Tuy nhiên, cần chọn thiết bị chịu tải cao để đảm bảo hiệu quả chịu được áp lực lưu lượng lớn.

9.2 Trường hợp 2: IDS đặt tại vị trí sau firewall

Nếu đặt sau firewall, đây là vị trí cực kỳ lý tưởng để IDS có thể theo dõi toàn bộ lưu lượng dịch chuyển phía sau, bao gồm dữ liệu trong mạng LAN và DMZ.

Tìm hiểu thêm: DMZ là gì? Vai trò và cách hoạt động của DMZ Host IP Address

Tạm kết

Thông qua bài viết trên, chắc hẳn bạn đọc đã có vốn kiến thức hữu ích về chủ đề IDS là gì? An ninh mạng hay bảo mật dữ liệu luôn là các vấn đề mà 1 doanh nghiệp cần chú trọng, vì vậy chúng tôi mong rằng bạn sẽ lựa chọn được hệ thống IDS phù hợp để bảo mật cho cá nhân hoặc doanh nghiệp của mình