Tunkeutumisen havaitsemis- ja estojärjestelmät

Verkkotasolla toimivat tunkeutumisen havaitsemisjärjestelmät (IDS, Intrusion Detection System) sekä tunkeutumisen estojärjestelmät (IPS, Intrusion Prevention System) tutkivat verkkoliikennettä ja sen ominaisuuksia. IDS-järjestelmien tarkoituksena on havaita mahdolliset tunkeutumisyritykset ja toimia ennalta määriteltyjen ohjeiden mukaisesti, jotta vältettäisiin vahinkojen syntyminen. Jos tunkeutuminen havaitaan riittävän nopeasti, hyökkääjä voidaan tunnistaa ja poistaa järjestelmästä välittömästi. Yleisesti voidaan sanoa, että mitä aiemmin hyökkäys todetaan, sitä vähemmän tuhoa siitä aiheutuu. IDS-järjestelmät mahdollistavat myös tiedon keräämisen hyökkäystekniikoista. Tätä tietoa voidaan käyttää kehitettäessä entistä tehokkaampia tunkeutumisen eston menetelmiä.

Tunkeutumisen havaitseminen perustuu oletukseen, että tunkeutujan tai haittaohjelman aikaansaama verkkoliikenne poikkeaa oleellisesti normaalista liikenteestä. Ei voida kuitenkaan olettaa, että ero normaalissa verkkoliikenteessä ja tunkeutujan tai haittaohjelman liikennöinnissä olisi suuri. Laaja tulkinta johtaa useampien tunkeutujien kiinni saamiseen, mutta myös useampiin vääriin hälytyksiin. Vastaavasti tiukka tulkinta johtaa pienempään määrään virhehälytyksiä, mutta samalla myös siihen, että useampi tunkeutuja jää huomaamatta.

Kaksi käytetyintä havaitsemistapaa tunkeutumisen havaitsemisjärjestelmissä ovat tilastollinen ja sääntöpohjainen havaitseminen. Tilastolliseen havaitsemiseen tarvitaan tietokanta, johon on tallennettu otos normaalista verkkoliikennöinnistä. Analysoitavaa liikennettä verrataan tilastollisin testein tähän tietokantaan, josta voidaan päätellä, onko kyseessä tunkeutuja tai haittaohjelma vai normaali verkkoliikenne. Sääntöpohjainen havaitseminen perustuu puolestaan joukkoon ennalta määriteltyjä sääntöjä, joilla yritetään tunnistaa, onko kyseessä tietyn haittaohjelman sormenjälki tai tunkeutujan käytös.