Network intrusion detection system

L'IDS, Intrusion Detection System, conosciuto anche come NIDS (Network Intrusion Detection System), è uno strumento informatico, software o hardware, dedito ad analizzare il traffico di uno o piu segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche. I piu comuni IDS sono composti da una o piu sonde dislocate sulla rete, che comunicano con un server centralizzato, che in genere si appoggia ad un Database. Fra le attività anomale che un IDS rileva possono presentarsi: accessi non autorizzati, propogazione di software malevolo, acquisizione abusiva di privilegi appartenenti a soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio (DoS).

Le logiche su cui gli IDS si basano per riconoscere flussi non autorizzati si distinguono in:

• Pattern Matching: l'abilità dell'IDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto è IPv4, TCP, la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme".

• Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni matematiche che si rifanno alle RFC's e ai loro standard. Se uno o piu flussi non rispettano gli standard

Quando gli IDS rilevano degli eventi significativi li classificano in base alla loro criticità, ad esempio Low, Medium, High; spesso si presentano dei falsi positivi, ovvero eventi che in realtà non costituiscono un pericolo per i sistemi informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. I moderni IDS lavorano sempre con dei Firewall, a tal scopo è nato

• Snort - Popolare IDS Open Source
• ISS - Compagnia produttrice di IDS commerciali
• The RFC Archive