IDS là gì? Phân biệt IDS, IPS và tường lửa

10/08/2023

Việc hệ thống mạng bị xâm nhập, làm gián đoạn hoạt động, mất dữ liệu quan trọng,... sẽ gây ảnh hưởng cực kỳ nghiêm trọng đối với các doanh nghiệp. IDS được ra đời để giải quyết vấn đề này. Vậy, IDS là gì? Chúng bao gồm các loại nào? Cùng tìm hiểu kỹ hơn thông qua bài viết bên dưới.

IDS là gì?

IDS là viết tắt của Intrusion Detection System, đây là công cụ phần mềm giúp doanh nghiệp có thể bảo vệ hệ thống hiệu quả hơn. IDS sẽ phát ra cảnh báo cho quản trị viên mỗi khi phát hiện có xâm nhập trái phép hoặc hoạt động bất thường.

IDS thường là một phần trong các hệ thống bảo mật hoặc phần mềm khác, giúp bảo vệ hệ thống thông tin dữ liệu bên trong. Các tính năng nổi bật của IDS là giám sát lưu lượng, phát hiện các hành vi khả nghi, đưa ra cảnh bảo cho quản trị viên khi có hoạt động bất thường. IDS kết hợp với phần mềm diệt virus và tường lửa giúp tạo ra hệ thống bảo mật toàn diện.

Phân loại hệ thống phát hiện xâm nhập IDS

Hiện nay, hệ thống phát hiện xâm nhập IDS được chia thành 5 loại như sau:

NIDS

Hệ thống phát hiện xâm nhập mạng (NIDS) tên tiếng Anh là Network Intrusion Detection Systems. Đây là hệ thống được thiết lập tại một điểm đã được kế hoạch trong mạng, nhằm mục đích kiểm tra lưu lượng truy cập từ tất cả các thiết bị trên network.

Hệ thống này có vai trò quan sát toàn bộ các lưu lượng truy cập đi qua mạng con và so sánh các lưu lượng truy cập này với các cuộc tấn công đã biết trong quá khứ. Khi phát hiện có dấu hiệu giống với cuộc tấn công được xác định trước đó hoặc có hành vi bất thường, NIDS sẽ gửi cảnh báo đến quản trị viên. Một ví dụ về NIDS là cài đặt nó trên mạng con nơi đã cấu hình tường lửa để quan sát xem có hacker hay kẻ xấu đang cố gắng bẻ khóa tường lửa hay không.

HIDS

Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion Detection Systems - HIDS) chạy trên các máy chủ hoặc thiết bị độc lập trên network. HIDS chỉ giám sát các gói đến và đi từ thiết bị và hệ thống này sẽ cảnh báo cho quản trị viên nếu phát hiện có hoạt động đáng ngờ.

HIDS chụp ảnh nhanh các tập tin hệ thống hiện có và so sánh với các ảnh chụp nhanh trước đó. Nếu các tập tin hệ thống bị chỉnh sửa hoặc xóa, HIDS sẽ gửi cảnh báo đến quản trị viên để kiểm tra và xử lý. HIDS thường được sử dụng trên các máy có nhiệm vụ quan trọng, không cần thay đổi bố cục thường xuyên.

PIDS

Hệ thống phát hiện xâm nhập dựa trên giao thức (Protocol-based Intrusion Detection System - PIDS) là một hệ thống hoặc một bộ phần luôn nằm ở mặt trước của máy chủ, nhằm kiểm soát và giải nghĩa giao thức giữa người dùng/thiết bị và Server.

PIDS có vai trò bảo mật máy chủ web thông qua việc thường xuyên giám sát luồng giao thức HTTPS và chấp nhận các giao thức HTTP liên quan. Vì HTTPS không được mã hóa trước khi vào lớp trình bày Website, nên hệ thống PIDS sẽ cần phải nằm trong giao diện này để sử dụng HTTPS.

APIDS

Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng (An application Protocol-based Intrusion Detection System - APIDS) thường có vị trí nằm trong một nhóm máy chủ. APIDS xác định xâm nhập trái phép bằng cách theo dõi và giải thích thông tin liên lạc dựa trên các giao thức dành riêng cho ứng dụng.

Ví dụ: APIDS giám sát giao thức SQL một cách toàn diện thông qua phần mềm trung gian, khi chúng giao dịch với cơ sở dữ liệu trong máy chủ web.

Hybrid Intrusion Detection System

Hệ thống phát hiện xâm nhập lai (Hybrid Intrusion Detection System) được thực hiện bằng cách kết hợp hai hoặc nhiều phương pháp phát hiện xâm nhập khác nhau. Trong hệ thống phát hiện xâm nhập lai, tác nhân chủ hoặc dữ liệu hệ thống được kết hợp với thông tin mạng, nhằm tạo ra một cái nhìn hoàn chỉnh về hệ thống mạng. Hệ thống phát hiện xâm nhập lai mang lại hiệu quả cao hơn so với hệ thống phát hiện xâm nhập khác. Prelude là một ví dụ điển hình về IDS lai.

Phân biệt IDS, IPS và tường lửa

IDS và tường lửa đều là các giải pháp bảo mật, an ninh mạng được dùng để bảo vệ các thiết bị mạng tại điểm cuối hoặc hệ thống mạng. Tuy nhiên, xét về mục đích sử dụng thì chúng có nhiều điểm khác nhau đáng kể.

IDS là một thiết bị giám sát thụ động, giúp chúng ta phát hiện các mối đe dọa tiềm ẩn và phát ra cảnh báo, cho phép nhà phân tích của trung tâm điều hành an ninh (Security Operations Center - SOC) hoặc những ai đảm nhiệm điều tra sự cố có thể ứng phó và giải quyết các sự cố tiềm ẩn. Nhìn chung, IDS không có khả năng thực sự bảo vệ các thiết bị mạng tại điểm cuối hoặc hệ thống mạng.
Ngược lại, tường lửa được thiết kế để hoạt động như một hệ thống bảo vệ. Chúng thực hiện phân tích siêu dữ liệu của các gói mạng, từ đó quyết định cho phép hoặc chặn các lưu lượng truy cập cụ thể dựa trên các quy tắc đã được xác định trước. Điều này tạo ra một bức tường kiên cố mà một số loại lưu lượng hoặc giao thức nhất định, bao gồm các lưu lượng có hại không thể vượt qua.

Vì tường lửa là một hệ thống bảo vệ trực tiếp nên chúng giống hệ thống ngăn chặn xâm nhập (Intrusion Prevention System - IPS) hơn là IDS. IPS cũng có vai trò bảo vệ an ninh mạng giống như IDS, nhưng IPS sẽ chủ động chặn lại các mối đe dọa đã xác định thay vì chỉ đưa ra cảnh báo. Tính năng này giúp bổ sung cho chức năng của tường lửa và các tường lửa ở thế hệ tiếp theo (NGFW) thường sẵn có chức năng IDS/IPS tích hợp. Điều này cho phép hệ thống này vừa thực thi được các quy tắc lọc lưu lượng được xác định trước (của tường lửa), đồng thời vừa phát hiện và ứng phó với các mối đe dọa mạng phức tạp hơn (của IDS/IPS).

Trên đây là các thông tin chi tiết về IDS là gì, cách phân loại cũng như phân loại giữa IDS, IPS và tường lửa. Khi triển khai hệ thống IDS, doanh nghiệp nên cân nhắc đến nhiều yếu tố như thành phần, cách cấu hình an toàn và phù hợp, xây dựng các cơ chế quản lý sao cho ngăn chặn tối đa các cảnh báo nhầm lẫn hoặc cảnh báo không đáng có. Nhờ vào đó, doanh nghiệp có thể tận dụng tối đa lợi thế của công cụ này.

CMC Cloud - Giải pháp Điện toán đám mây Toàn diện & Linh hoạt nhất. Cho phép tùy biến sử dụng và quản trị 25+ dịch vụ