Le fasi di un sistema di rilevamento delle intrusioni (IDS) includono in genere la raccolta dei dati, l’analisi dei dati, il rilevamento, la generazione di avvisi e la risposta. La raccolta dei dati implica la raccolta di informazioni da varie fonti come traffico di rete, registri di sistema e attività delle applicazioni. L’analisi dei dati esamina queste informazioni per identificare modelli o comportamenti indicativi di un’intrusione. Vengono quindi applicati metodi di rilevamento, come tecniche basate su firma o su anomalie, per identificare potenziali minacce. Quando viene rilevata una minaccia, l’IDS genera un avviso per avvisare gli amministratori. Il passaggio finale prevede la risposta all’avviso, che può includere l’analisi dell’incidente, la mitigazione della minaccia e l’aggiornamento delle regole di rilevamento per prevenire eventi futuri.
Il processo di rilevamento delle intrusioni inizia con l’implementazione di sensori o agenti che monitorano il traffico di rete o le attività del sistema. Questi sensori raccolgono continuamente dati e li inviano all’IDS per l’analisi. L’IDS utilizza firme predefinite o algoritmi di rilevamento delle anomalie per analizzare i dati e identificare eventuali segni di attività dannosa. Se viene rilevata una potenziale minaccia, l’IDS registra l’evento e genera un avviso. L’avviso viene esaminato dal personale di sicurezza, che determina la risposta appropriata, ad esempio bloccando l’attività dannosa, indagando sull’origine dell’intrusione e adottando misure per prevenire attacchi futuri.
Le tecniche per i sistemi di rilevamento delle intrusioni includono il rilevamento basato su firma, il rilevamento basato su anomalie e il rilevamento ibrido. Il rilevamento basato sulle firme confronta le attività monitorate con un database di modelli di attacco e firme noti. Il rilevamento basato sulle anomalie stabilisce una linea di base del comportamento normale e identifica le deviazioni da questa linea di base come potenziali minacce. Il rilevamento ibrido combina metodi basati su firme e anomalie per migliorare la precisione del rilevamento e ridurre i falsi positivi.
Le cinque fasi generali di un’intrusione includono tipicamente la ricognizione, la scansione, l’accesso, il mantenimento dell’accesso e la copertura delle tracce. Durante la ricognizione l’aggressore raccoglie informazioni sul sistema bersaglio. La scansione implica sondare l’obiettivo per individuare eventuali vulnerabilità. Ottenere l’accesso è il passaggio in cui l’aggressore sfrutta le vulnerabilità identificate per entrare nel sistema. Mantenere l’accesso implica l’installazione di backdoor o altri metodi per mantenere il controllo sul sistema compromesso. Coprire le tracce è il passaggio finale, in cui l’aggressore tenta di cancellare le prove dell’intrusione per evitare di essere scoperto.
I tre tipi di sistemi di rilevamento delle intrusioni sono sistemi di rilevamento delle intrusioni basati su rete (NIDS), sistemi di rilevamento delle intrusioni basati su host (HIDS) e sistemi di rilevamento delle intrusioni ibridi. I NIDS monitorano il traffico di rete per rilevare attività sospette e vengono generalmente distribuiti in punti strategici all’interno della rete, come gateway o sottoreti critiche. Gli HIDS vengono installati su singoli host o dispositivi per monitorare le attività a livello di sistema, come l’accesso ai file, l’attività dei processi e i registri di sistema. I sistemi ibridi di rilevamento delle intrusioni combinano le funzionalità di NIDS e HIDS, fornendo funzionalità complete di monitoraggio e rilevamento sia negli ambienti di rete che in quelli host.