Intrusion Detection System o IDS è un dispositivo software/hardware utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici.

Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso l'invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e worm.

Un IDS è composto da quattro componenti. Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza. esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle metodologie utilizzate per individuare violazioni della sicurezza. Il più semplice IDS è un dispositivo che integra tutte e tre le componenti in un solo apparato.

Individuazioni delle violazioni e individuazioni delle anomalie

Un misuse detection system, conosciuto anche come signature based intrusion detection system identifica le intrusioni ricercando pattern nel traffico di rete o nei dati generati dalle applicazioni. Questa tipologia di applicazioni sono in grado di individuare solo attacchi conosciuti e memorizzati nel loro database. Questa tipologia di analisi dei dati è incapace di individuare violazioni nuove o mutazioni di violazioni già conosciute. Basta modificare anche superficialmente una violazione nota per ingannare questo sistema di analisi. Per ovviare al problema delle mutazioni sono nati gli anomaly based intrusion detection system. Questi sistemi analizzano il funzionamento del sistema alla ricerca di anomalie. Le anomalie vengono analizzate e il sistema cerca di definire se sono pericolose per l'integrità del sistema. Spesso questi sistemi sono basati su tecnologie derivate dall'intelligenza artificiale in modo da poter imparare dai propri errori a da non risegnalare anomalie già identificate come non maligne. Questi sistemi hanno una serie di regole che definiscono lo stato normale del sistema. Queste regole definiscono caratteristiche come il carico di rete, il tipo di protocolli di rete utilizzati, i servizi attivi, il tipo di pacchetti e altro. Queste regole vengono utilizzate per identificare le anomalie che vengono passate all'analizzatore che ne stabilisce la pericolosità.

Analisi della rete o degli Host

Gli IDS si possono suddividere anche a seconda di cosa analizzano, esistono gli IDS che analizzano le reti locali, quelli che analizzano gli Host e gli IDS ibridi che analizzano la rete e gli Host.

• Un Network Intrusion Detection System analizza il traffico di rete per identificare intrusioni. Le intrusioni vengono rilevate per via del traffico anomalo che generano. I sensori di questi IDS sono posizionati nella rete in punti critici per esempio nelle DMZ o nei punti di accesso alla rete locale. Questi IDS sono in grado anche di rivelare anche eventuali modifiche alla topologia della rete locale. Un esempio di Network Intrusion Detection System è Snort.

• Un Host based Intrusion Detection System consiste in un agente che analizza l'Host alla ricerca di intrusioni. Le intrusioni vengono rilevate analizzando i file di log del sistema, le system call, le modifiche al file system del computer (modifiche nel file delle password, nel database degli utenti e della gestione dei privilegi, ecc ), e altre componenti del computer. Un esempio di questa tipologia è Aide.

• Un Hybrid Intrusion Detection System combina i due approcci. Le informazioni recuperate dagli agenti in esecuzioni negli Host vengono integrate con le informazioni prelevate dalla rete locale. Un esempio id IDS ibrido è Prelude.

Sistemi passivi e sistemi attivi

Gli IDS si suddividono in due ulteriori categorie, gli IDS passivi e degli IDS attivi. I primi IDS quando rilevano una violazione della sicurezza informatica provvedono a notificarla all'operatore tramite la console ed eventualmente gli inviano una email. Gli IDS attivi oltre a notificare all'operatore una violazione della sicurezza provvedo a prendere delle opportune contromisure per eliminare o comunque isolare la violazione informatica.

Nei sistemi attivi l'eliminazione della violazione si ottiene usualmente riprogrammando la lista di controllo degli accessi del firewall in modo da impedire l'accesso agli indirizzi responsabili dell'attacco. Questa tipologia di IDS va accuratamente programmata dato che una falsa identificazione potrebbe bloccare un utente autorizzato.

Il firewall non è in grado di bloccare violazioni della sicurezza che avvengono dall'interno della rete locale. A questo scopo sono stati sviluppati gli Intrusion prevention system. Questi componenti contengono delle liste programmate dall'IDS che vengono utilizzate per decidere se un programma deve essere mandato in esecuzione o no. Questi componenti impediscono a worms o virus di diffondersi nei vari computer dato che il componente ne impedisce l'attivazione.