Un sistema di rilevamento delle intrusioni (IDS) ispeziona tutte le attività di rete in entrata e in uscita e identifica schemi sospetti che possono indicare un attacco di rete o di sistema da parte di qualcuno che tenta di entrare o compromettere un sistema.
Esistono diversi modi per classificare un IDS:
- rilevamento degli abusi vs. rilevamento anomalie: nel rilevamento degli abusi, l'IDS analizza le informazioni raccolte e le confronta con grandi database di firme di attacco. Essenzialmente, l'IDS cerca un attacco specifico che è già stato documentato. Come un sistema di rilevamento dei virus, il software di rilevamento degli abusi è valido solo quanto il database delle firme di attacco che utilizza per confrontare i pacchetti. Nel rilevamento delle anomalie, l'amministratore di sistema definisce lo stato di base, o normale, del carico di traffico della rete, del guasto, del protocollo e delle dimensioni tipiche dei pacchetti. Il rilevatore di anomalie monitora i segmenti di rete per confrontare il loro stato con la normale linea di base e cercare anomalie.
- basato sulla rete vs. sistemi basati su host: in un sistema basato su rete, o NIDS, vengono analizzati i singoli pacchetti che fluiscono attraverso una rete. Il NIDS è in grado di rilevare pacchetti dannosi progettati per essere ignorati dalle semplicistiche regole di filtraggio del firewall. In un sistema basato su host, l'IDS esamina l'attività su ogni singolo computer o host.
- sistema passivo vs. sistema reattivo: in un sistema passivo, l'IDS rileva una potenziale violazione della sicurezza, registra le informazioni e segnala un avviso. In un sistema reattivo, l'IDS risponde all'attività sospetta disconnettendo un utente o riprogrammando il firewall per bloccare il traffico di rete dalla sospetta fonte dannosa.
Sebbene entrambi si riferiscano alla sicurezza della rete, un IDS differisce da un firewall in quanto un firewall cerca le intrusioni per impedire che si verifichino. Il firewall limita l'accesso tra le reti per evitare intrusioni e non segnala un attacco dall'interno della rete. Un IDS valuta una sospetta intrusione una volta che si è verificata e segnala un allarme. Un IDS controlla anche gli attacchi che provengono dall'interno di un sistema.