Architektura

Architektura je jedním z nejkritičtějších aspektů v nasazení detekce a prevence narušení. Její špatný návrh vede k několika nežádoucím jevům, kterými jsou nedostupnost dat, špatná odezva, či zpomalení sítě.
Vrstvená architektura
 Je složena ze tří typů:
    jednovrstvá architektura
    vícevrstvá architektura
    architektura peer-peer.
Jednovrstvá architektura
Je to jedna z nejzákladnějších architektur. Komponenty sbírají a zpracovávají data samostatně, aniž by je předávaly jako svůj výstup jiným komponentám. Tato architektura je
jednoduchá, levná, a nezávislá. V dnešní době se většinou skládá z komponent, které o sobě vzájemně neví, z čehož vyplývá omezení účinnosti.
Vícevrstvá architektura
 Skládá se z více komponent, které si mezi sebou předávají informace. Většina dnešních IDS systémů obsahuje tři základní komponenty jimiž jsou senzory, analyzátory nebo agenty a manažer. Senzory jsou komponenty, které sbírají data ze síťového rozhraní, logů či firewallů. Agenti získávají informace ze senzorů a sledují aktivitu narušení v místě nasazení. Většinou se zaměřují na vykonávání jediné funkce, tj. jeden agent monitoruje pouze TCP spojení, druhý jen UDP spojení atd. Pokud zjistí, že dochází k útoku, pošle informaci komponentě manažer, která má možnost zachovat se podle následujících možností:

Sběr výstah
Spuštění stránkovače či vytočení telefonního čísla
Uložení informace do databáze
Získávání dalších informací týkající se události
Zaslání informace na host
Zaslání příkazů na firewall, pro změnu přístupového kontrolního listu
Poskytnutí uživatelského rozhraní řídící konzoli

Mezi výhody vícevrstvové architektury patří vyšší účinnost a hlubší analýza. Každá komponenta provádí pouze tu úlohu, pro kterou byla navržena, navíc není závislá na ostatních částech architektury. Hlavní nevýhodou této architektury je složitost, a z toho vyplývající náročnější údržba.

Architektura peer-peer
V této architektuře se vyměňují informace o detekci či prevenci mezi rovnocennými komponentami, z nichž každá provádí stejný druh činnosti. Často se využívá ve spolupráci s firewally. Informace odehrávající se na jednom firewallu se předává druhému, což umožňuje změnu pravidel v řídícím přístupovém seznamu, či přidání restrikcí. Taktéž druhý firewall si vyměňuje informace s prvním, který na základě jeho informací může změnit své chování. Hlavní výhoda spočívá v jednoduchosti. Každý rovnocenný partner může získávat informace od ostatních.

Senzory
Senzory jsou vlastně vstupními body systému (nejnižšími komponentami), které sbírají
a předávají data dalším komponentám

Existují dva základní typy senzorů:

Senzory založené na síti Jsou to programy nebo síťová zařízení, která zachytávají data na síti. Ve srovnání se senzory založenými na uzlech bývají nasazovány častěji. Největší výhoda spočívá v počtu uzlů, pro které může senzor poskytovat data. Bude-li mít tato síť sto uzlů, může tento senzor sbírat data o zneužití ve všech uzlech. [2] 3.2.2 Senzory založené na uzlech Síťové rozhraní každého uzlu musí být nakonfigurováno tak, aby zpracovávalo pouze data určená pro něj. Většina těchto senzorů jsou programy, které vytvářejí data ve formě logu. Výstup těchto programů je zasílán do analytických programů, kde bývá dále zpracováván.

Agenti

Primární funkcí agentů je analýza dat přijatých od senzorů. Agenta si můžeme představit jako několik na sobě nezávislých procesů analyzující chování, za účelem detekce narušení a anomálií. Pokud se v síti nachází více agentů, pracují nezávisle na sobě. Co z toho plyne? Pokud jeden agent přestane pracovat, ostatní mohou dále pokračovat ve své činnosti. Díky této vlastnosti mohou být jednotliví agenti dle potřeby do systému přidáváni, či odebíráni. Fungují nezávisle na sobě a často spolupracují.

Komponenta manažer Někdy také bývá nazývána server, je další komponentou vícevrstvé architektury a zajišťuje funkci řízení IDS/IPS systémů. Manažer je tzv. mozkem celého systému. Jednou z hlavních úloh této komponenty je generování výstrahy, jakmile se objeví událost vysokého stupně nebezpečí. Tyto výstrahy bývají rozesílány e-mailem nebo pomocí syslogu.

Další úlohy komponenty manažer: