ระบบตรวจจับการบุกรุก (IDS) คือแอปหรืออุปกรณ์ที่ตรวจสอบการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก วิเคราะห์เหตุการณ์อย่างต่อเนื่องสำหรับการเปลี่ยนแปลงในรูปแบบ และแจ้งเตือนผู้ดูแลระบบเมื่อตรวจพบพฤติกรรมที่ผิดปกติ ผู้ดูแลระบบสามารถตรวจสอบการเตือนและดำเนินการเพื่อลบภัยคุกคาม
ตัวอย่างเช่น IDS สามารถตรวจสอบข้อมูลที่ดำเนินการโดยการรับส่งข้อมูลเครือข่ายเพื่อดูว่ามีมัลแวร์ที่รู้จักหรือเนื้อหาที่เป็นอันตรายอื่น ๆ หรือไม่ หากสามารถระบุภัยคุกคามประเภทนี้ได้ ก็จะส่งการแจ้งเตือนไปยังทีมรักษาความปลอดภัยเพื่อให้สามารถตรวจสอบและแก้ไขได้ เนื่องจากทีมของคุณได้รับการแจ้งเตือน พวกเขาจึงควรดำเนินการอย่างรวดเร็วเพื่อหลีกเลี่ยงไม่ให้มีการโจมตีเข้าครอบงำระบบ
ในระบบตรวจจับการบุกรุกบนเครือข่าย (NIDS) เซ็นเซอร์จะถูกวางไว้ที่จุดควบคุมในเครือข่ายเพื่อตรวจสอบ มักจะอยู่ในเขตปลอดทหาร (DMZ) หรือที่ชายแดนเครือข่าย เซ็นเซอร์จับการรับส่งข้อมูลเครือข่ายบางส่วนและวิเคราะห์เนื้อหาของแพ็กเก็ตเฉพาะสำหรับการรับส่งข้อมูลที่เป็นอันตราย
ในระบบ PIDS และ APIDS ใช้เพื่อตรวจสอบการขนส่งและโปรโตคอลการรับส่งข้อมูลหรือโครงสร้างของภาษาที่ผิดกฎหมายหรือไม่เหมาะสม (พูด SQL) ในระบบที่ใช้โฮสต์ โดยทั่วไปเซ็นเซอร์จะประกอบด้วยตัวแทนซอฟต์แวร์ ซึ่งจะตรวจสอบกิจกรรมบางอย่างของโฮสต์ที่ติดตั้งไว้ ลูกผสมของทั้งสองระบบก็เกิดขึ้นเช่นกัน
-
ระบบตรวจจับการบุกรุกเครือข่ายเป็นแพลตฟอร์มอิสระซึ่งระบุการบุกรุกโดยกำหนดปริมาณการใช้เครือข่ายและตรวจสอบโฮสต์หลายตัว NetworkIntrusion Detection Systems เข้าถึงทราฟฟิกเครือข่ายโดยเชื่อมโยงไปยังฮับ สวิตช์เครือข่ายที่กำหนดค่าไว้สำหรับการมิเรอร์พอร์ต หรือการแตะเครือข่าย ตัวอย่างของ NIDSis Snort
-
ระบบตรวจจับการบุกรุกที่ใช้โปรโตคอล (PIDS) ประกอบด้วยระบบหรือเอเจนต์ที่โดยทั่วไปสามารถนั่งอยู่ที่ส่วนหน้าของเซิร์ฟเวอร์ ตรวจสอบและวิเคราะห์โปรโตคอลการสื่อสารระหว่างอุปกรณ์ที่เชื่อมต่อ (ผู้ใช้/พีซี หรือระบบ)
สำหรับเว็บเซิร์ฟเวอร์ โดยทั่วไปจะสามารถตรวจสอบสตรีมโปรโตคอล HTTPS และทำความเข้าใจโปรโตคอล HTTP ที่สอดคล้องกับเว็บเซิร์ฟเวอร์ที่พยายามป้องกัน เมื่อมีการใช้ HTTPS ระบบนี้จะต้องอยู่ใน “ชิม” หรือส่วนต่อประสานระหว่างที่ HTTPS ไม่ถูกเข้ารหัสและโดยตรงก่อนที่จะเข้าสู่เลเยอร์การนำเสนอของเว็บ
-
Application Protocol-based Intrusion Detection System (APIDS) ประกอบด้วยระบบหรือเอเจนต์ที่โดยทั่วไปสามารถนั่งภายในชุดของเซิร์ฟเวอร์ ตรวจสอบและวิเคราะห์การสื่อสารบนโปรโตคอลเฉพาะแอปพลิเคชัน ในเว็บเซิร์ฟเวอร์ที่มีฐานข้อมูล สิ่งนี้สามารถตรวจสอบโปรโตคอล SQL ที่เจาะจงสำหรับมิดเดิลแวร์/การเข้าสู่ระบบธุรกิจที่ดำเนินการกับฐานข้อมูล
-
ระบบตรวจจับการบุกรุกบนโฮสต์ (HIDS) ประกอบด้วยเอเจนต์บนโฮสต์ซึ่งระบุการบุกรุกโดยการวิเคราะห์การเรียกของระบบ บันทึกซอฟต์แวร์ การปรับเปลี่ยนระบบไฟล์ (ไบนารี ไฟล์รหัสผ่าน ฐานข้อมูลความสามารถ) และหลายกิจกรรมและสถานะของโฮสต์ ตัวอย่างของ HIDS คือ OSSEC
-
ระบบตรวจจับการบุกรุกแบบไฮบริดผสมผสานวิธีการต่างๆ เข้าด้วยกัน Host Agentdata ถูกรวมเข้ากับข้อมูลเครือข่ายเพื่อสร้างรูปลักษณ์ที่ครอบคลุมของเครือข่าย อินสแตนซ์ของ Hybrid IDS คือ Prelude