Podstawowe techniki obronne stosowane w IDS są następujące:

1. Sygnatury indywidualne - identyfikujące specyficzne formy ataków. Każdy znany atak ma dedykowaną sygnaturę, która jest bardzo dokładna i w zasadzie wyklucza generowanie fałszywych alarmów.
2. Sygnatury ogólne - identyfikujące metodologię ataków. Pozwalają na identyfikację całej klasy ataków bez konieczności stosowanie sygnatur indywidualnych.
3. Ochrona zasobów - sygnatury chroniące przed modyfikacją specyficzne zasoby systemowe, takie jak pliki systemowe, klucze rejestrów itp.
4. Ochrona HTTP - motor sprawdzający wchodzący strumień HTTP i określający, czy zlecenia w nim zawarte nie mają na celu wykorzystywania słabych punktów serwera webowego.
5. 'Osłona - technologia ochrony zapobiegająca manipulowaniu przy zasobach aplikacji (modyfikacja plików konfiguracyjnych, wstrzymywanie usług itp.'), a także nadużywaniu aplikacji do wykonywania funkcji, które nie powinny być dozwolone.

Koncepcja osłony dotyczy głównie aplikacji webowych i zapewnia integralność serwera webowego, jego aplikacji i plików.

Napastnicy często wykorzystują słabe punkty w serwerach webowych i aplikacjach w celu poszerzenia swoich uprawnień, wykonania szkodliwych komend lub uzyskania dostępu do danych. Ponieważ normy zachowań w obszarze serwera webowego są dobrze zdefiniowane, to większość odchyleń od nich może być zidentyfikowana i unieszkodliwiona.

Główne metody wykrywania włamań są następujące:

1. Wykrywanie sygnatur ruchu (Statefull Signature Detection) - metoda stosowana do pewnych form ataków, polegająca na porównywaniu sygnatur ataku z ruchem. Poszukuje się wzorców ataków jedynie w takich fragmentach ruchu, gdzie mogą się one znajdować, co pozwala zrezygnować z przeglądania całego strumienia. Wszystkie sygnatury są dostępne z graficznego interfejsu użytkownika, który umożliwia również edycję nowych sygnatur lub modyfikację już istniejących.
2. Wykrywanie anomalii protokołowych (Protocol Anomaly Detection) - metoda stosowna do identyfikacji ataków metodą wyszukiwania odchyleń od protokołów stanowiących podstawę normalnego ruchu. Zasadniczo metoda ta weryfikuje ruch, opierając się na opublikowanych specyfikacjach protokołów, wyszukując niewłaściwe stosowanie protokołów komunikacyjnych.
3. Wykrywanie tylnych furtek (Backdoor Detection) - identyfikacja i zabezpieczenie przed atakami przez „tylne furtki”. Ataki tego typu pozwalają zazwyczaj na przejęcie kontroli nad całym systemem lub aplikacją. Tylne furtki pozostawiane są często przez projektantów systemów, którzy używali ich na etapie uruchamiania, lub też są instalowane przez trojany dostające się do sieci. Identyfikuje się unikatowe charakterystyki interaktywnego ruchu pomiędzy systemem a atakującym (różnorodne komendy systemowe) i uaktywnia alarm z chwilą napotkania niespodziewanej aktywności.
4. Wykrywanie anomalii w ruchu (Traffic Anomaly Detection) - wykrywanie ataków, które nie zawierają się w pojedynczej sesji, lecz wymagają kilku połączeń. Często są to misje rozpoznawcze, zbierające informacje o sieci dla przeprowadzenia przyszłych ataków. Wykrywanie anomalii w ruchu pozwala na identyfikację takiej aktywności przez porównywanie ruchu wejściowego z wzorcami ruchu normalnego. Pozwala to na wykrycie prób włamań składających się z wielu połączeń. Sondowanie sieci i skanowanie portów to właśnie przykłady tego typu ataków.
   Podstawową zaletą metody opartej na wykrywaniu anomalii jest zdolność do rozpoznawania nieznanych ataków, ponieważ nie opiera się ona na wiedzy, jak konkretny atak wygląda, ale na tym, co nie odpowiada normom ruchu normalnego. Cechą ujemną tej metody jest konieczność „wytrenowania” systemu pod kątem wychwytywania sygnałów wynikających ze zmian w normalnym ruchu sieciowym (instalacja nowych aplikacji).
   Zmiany w standardowych operacjach mogą powodować fałszywe alarmy, podczas gdy działalność hakerska może jawić się jako ruch normalny. W tej technice istnieje także trudność identyfikacji konkretnych typów ataków. Jest to dziedzina młoda i jeszcze niedojrzała. Wiele dostępnych na rynku narzędzi IDS nadal opiera się na sygnaturach identyfikujących znane formy ataków. Oznacza to konieczność stałego instalowania nowych sygnatur, który to proces jest teraz często automatyzowany.
5. Pułapki sieciowe (Network Honeypot) - symulowanie nieistniejącej usługi polegające na wysyłaniu fałszywej informacji do napastnika próbującego sondować sieć. Każda próba połączenia się z taką usługą jest uważana za próbę hakerską, ponieważ w rzeczywistości usługa taka nie istnieje w systemie.
6. Wykrywanie hybrydowe zapewniające skoordynowane stosowanie wielu metod wykrywania w celu zwiększenia szansy identyfikacji ataku. Zbiera dodatkowe informacje o działaniach szkodliwych, prowadząc: behawioralny monitoring ruchu, śledzenie stanów protokołowych i reasemblację pakietów IP. Z kolei analiza korelacji statystycznych pozwala oceniać zagregowane zdarzenia pod kątem właściwej identyfikacji potencjalnych ataków i uszeregowania ich pod względem ważności, minimalizując przy tym możliwość fałszywych alarmów.
7. Reasemblacja ruchu IP - rozpoznawanie fragmentowanych pakietów IP i wykonywanie rekonstrukcji od warstwy 3 do 7. Sensor wykonuje reasemblację spójną ze stosem IP.
8. Wykrywanie ataków zanurzonych. Jedną z taktyk używanych przez napastników w celu zmniejszenia prawdopodobieństwa namierzenia jest ukrycie prawdziwego ataku w potoku pakietów, np. Typu DoS. Można tym łatwo wprowadzić w błąd tradycyjnie działające IDS. Ich sensory mogą przepuścić rozproszone pakiety składające się na realny atak. W potoku innych pakietów można ukryć pakiety stworzone do ataku.
   Sensory rozpoznają zmodyfikowane ataki w sposób ciągły, niezależnie od wymieszania pakietów. Wszystkie podejrzane zdarzenia są przekazywane do oceny kontekstowej, zanim zostanie podjęta jakakolwiek akcja alarmowa.
9. Behawioralny monitoring ruchu. Metoda licznika statystycznego lub częstotliwościowego do dokładnego identyfikowania formy ruchu wskazująca, że jest to DDoS lub atak metodą potoku pakietów. Metoda uwzględnia mechanizm samostrojenia do rozpoznawania różnych środowisk, a nawet różnych typów organizacji wewnętrznej ISP. Dopuszczalne formy poszczególnych typów zdarzeń w jednej lokalizacji mogą być uważane za atak potokowy w innej.

Zobacz także

• Systemy IDS
  • Problem fałszywych alarmów
  • Sieciowe IDS jako narzędzia analityczne
  • Systemy wykrywania włamań
  • Zintegrowana ochrona przed intruzami