Le reti di informazioni possono essere altamente suscettibili agli attacchi dannosi di worm, virus e varie altre minacce di rete, con nuovi problemi che emergono regolarmente su questi fronti. Tali attacchi possono paralizzare le reti, distruggere dati importanti e influire negativamente sulla produttività. Per evitare che ciò accada, vengono impostati sistemi di rilevamento delle intrusioni (IDS) per proteggere le reti di informazioni.
Un sistema di rilevamento delle intrusioni funge da protezione che rileva gli attacchi prima o mentre si verificano, avvisa l’amministrazione del sistema e quindi adotta le misure appropriate per disabilitare gli attacchi, ripristinando la rete alla sua normale capacità di lavoro. Nei sistemi di rilevamento delle intrusioni è solitamente richiesto un certo grado di supervisione umana e di indagine, poiché l’IDS non è completamente infallibile. Un sistema di rilevamento delle intrusioni potrebbe, ad esempio, non riuscire a identificare alcune minacce di rete o, in caso di reti occupate, potrebbe non essere in grado di controllare tutto il traffico che attraversa la rete.
Nel suo funzionamento quotidiano, il sistema di rilevamento delle intrusioni monitora l’attività dell’utente e il traffico sulla rete e tiene d’occhio le configurazioni del sistema ei file di sistema. Se vengono rilevate anomalie o attacchi, il sistema di rilevamento delle intrusioni attiva immediatamente un allarme per portare la questione all’attenzione dell’amministratore di sistema. Il sistema può quindi procedere alla gestione delle minacce di rete o lasciare che sia l’amministratore a decidere il modo migliore per affrontare il problema.
Esistono tre tipi principali di sistemi di rilevamento delle intrusioni che insieme formano un sistema di prevenzione delle intrusioni. Il primo è il rilevamento delle intrusioni di rete, che mantiene una libreria di minacce di rete note. Il sistema controlla in Internet e aggiorna costantemente questa libreria; in questo modo il sistema è tenuto informato sulle ultime minacce alla rete ed è in grado di proteggere meglio la rete. Il traffico in transito viene monitorato e verificato con la libreria e, se un attacco noto o un comportamento anomalo corrisponde a quelli nella libreria, il sistema si prepara a bloccarlo.
Il rilevamento delle intrusioni del nodo di rete è la seconda parte del sistema di prevenzione delle intrusioni. Controlla e analizza il traffico che passa dalla rete a un host specifico. La terza parte è il sistema di rilevamento delle intrusioni dell’host, che verifica eventuali modifiche al sistema attuale; se dei file vengono modificati o eliminati, il sistema di rilevamento delle intrusioni dell’host emette l’allarme. Può disabilitare direttamente l’attacco o impostare un nuovo ambiente di sicurezza migliorato.