Nids - Co Robią

• skanowanie wszystkich przychodzących (czasem również wychodzących) pakietów próbując ustalić na podstawie ruchu sieciowego czy nie ma miejsca np. skanowanie portów lub przesyłanie pakietów z niebezpiecznym shellcodem (kawałek kodu maszynowego, za pomocą którego atakujący najczęściej uzyskuje kontrolę nad ofiarą wykorzystując dziury w konkretnej wersji oprogramowania)

• najprostsza metoda sprawdzania pakietów to próba dopasowania zawartości pakietu do listy reguł typu blacklist

• analiza sesji - łączenie kilku pakietów w całość i analiza ich zawartości w kontekście sesji

• dekodowanie protokołów wyższych warstw - np. FTP czy HTTP i analiza ich zawartości (np. Cisco Content-Based Access Lists) w poszukiwaniu specyficznych dla danego protokołu ataków

• analiza heurystyczna ruchu sieciowego - np. określanie kiedy ma miejsce skanowanie portów - przekroczona ilość dozwolonych połączeń z jednego adresu do różnych portów - konkretne wartości progowe są ustalane na podstawie statystyk ruchu

• próby wykrywania anomalii w ruchu sieciowym - trudne, bo niełatwo określić kiedy ma miejsce nietypowe natężenie ruchu

• skanowanie logów zawierających zapis ruchu sieciowego i próby ustalenia czy nie miał miejsca atak na serwery

• współpraca z innymi systemami bezpieczeństwa, np. wymiana informacji z firewallami, aktualizacja listy zabronionych IP, listy reguł itp.

• informowanie administratora o potencjalnych zagrożeniach

NIDS - Wady