Possiamo definire gli IDS come sistemi di prevenzione contro attacchi o anomali del traffico. Ci sono vari sistemi di prevenzione o di allerta, che attuano prima o dopo un determinato evento.
Il blocco preventivo IDS cerca di prevenire le intrusioni prima che si verifichino. Questo viene fatto osservando eventuali segnali di pericolo di minacce imminenti e quindi bloccando l’utente o l’indirizzo IP da cui provengono questi segnali.
Esempi di questa tecnica includono tentativi di rilevare le prime fasi di Footprinting di un’imminente intrusione per esempio porta 22 ssh, quindi bloccare l’IP o l’utente che è la fonte dell’attività di Footprinting. Se scopri che un determinato indirizzo IP è la fonte di frequenti scansioni delle porte e di altre scansioni del tuo sistema, bloccherai quell’indirizzo IP sul firewall.
Questo tipo di rilevamento ed elusione delle intrusioni può essere piuttosto complicato e esiste il potenziale di bloccare per errore un utente legittimo. La complessità deriva dal distinguere il traffico legittimo da quello indicativo di un attacco imminente. Ciò può portare al problema dei falsi positivi, in cui il sistema identifica erroneamente il traffico legittimo come una forma di attacco.
Di solito, un sistema software avviserà semplicemente l’amministratore che si sono verificate attività sospette. Un amministratore umano prenderà quindi la decisione se bloccare o meno il traffico.
Se il software blocca automaticamente qualsiasi indirizzo ritenuto sospetto, si corre il rischio di bloccare utenti legittimi. Va inoltre notato che nulla impedisce all’utente offensivo di spostarsi su una macchina diversa per continuare l’attacco. Questo tipo di approccio dovrebbe essere solo una parte di una strategia globale di rilevamento delle intrusioni e non l’intera strategia.
Il rilevamento delle anomalie IDS coinvolge un vero software che funziona per rilevare i tentativi di intrusione e avvisare l’amministratore. Questo è ciò che molte persone pensano quando parlano di sistemi di rilevamento delle intrusioni. Il processo generale è semplice: il sistema cerca comportamenti anomali.
Qualsiasi attività che non corrisponde alla definizione di comportamento normale è considerata un’anomalia e viene registrata. I modi specifici in cui viene rilevata un’anomalia includono:
Il monitoraggio della soglia preimposta livelli di comportamento accettabili e osserva se tali livelli vengono superati. Ciò potrebbe includere qualcosa di semplice come un numero di tentativi di accesso non riusciti o qualcosa di complesso come il monitoraggio del tempo di connessione di un utente e della quantità di dati scaricati dall’utente.
Le soglie forniscono una definizione di comportamento accettabile. Sfortunatamente, caratterizzare il comportamento invadente solo attraverso i limiti di soglia può essere alquanto impegnativo.
Spesso è abbastanza difficile stabilire i valori di soglia adeguati o gli intervalli di tempo corretti in cui verificare tali valori. Ciò può comportare un alto tasso di falsi positivi in cui il sistema identifica erroneamente il normale utilizzo come un probabile attacco.
