Systém detekce narušení (IDS) kontroluje veškerou příchozí a odchozí síťovou aktivitu a identifikuje podezřelé vzory, které mohou naznačovat síťový nebo systémový útok od někoho, kdo se pokouší proniknout do systému nebo jej ohrozit.
Existuje několik způsobů, jak kategorizovat IDS:
- detekce zneužití vs detekce anomálie: při detekci zneužití IDS analyzuje informace, které shromažďuje, a porovnává je s velkými databázemi signatur útoků. IDS v zásadě hledá konkrétní útok, který již byl zdokumentován. Stejně jako systém detekce virů je software pro detekci zneužití stejně dobrý jako databáze podpisů útoků, kterou používá k porovnání paketů. Při detekci anomálií správce systému definuje základní nebo normální stav zatížení sítě, rozdělení, protokolu a typické velikosti paketu. Detektor anomálií sleduje segmenty sítě, aby porovnal jejich stav s normální základní linií a hledal anomálie.
- založené na síti vs hostitelské systémy: v síťovém systému neboli NIDS jsou analyzovány jednotlivé pakety protékající sítí. NIDS dokáže detekovat škodlivé pakety, které jsou navrženy tak, aby je přehlédly zjednodušující pravidla filtrování brány firewall. V hostitelském systému IDS zkoumá aktivitu na každém jednotlivém počítači nebo hostiteli.
- pasivní systém vs reaktivní systém: v pasivním systému detekuje IDS potenciální narušení bezpečnosti, zaznamenává informace a signalizuje výstrahu. V reaktivním systému reaguje IDS na podezřelou aktivitu odhlášením uživatele nebo přeprogramováním brány firewall tak, aby blokovala síťový provoz z podezřelého škodlivého zdroje.
Ačkoli se oba vztahují k zabezpečení sítě, IDS se liší od brány firewall v tom, že brána firewall vyhledává vniknutí, aby jim zabránila. Brána firewall omezuje přístup mezi sítěmi, aby se zabránilo vniknutí, a nesignalizuje útok zevnitř sítě. IDS vyhodnotí podezření na narušení, jakmile k němu dojde, a signalizuje poplach. IDS také sleduje útoky pocházející ze systému.