یک سیستم تشخیص نفوذ (IDS) ، ترافیک شبکه را با هدف یافتن فعالیت غیرعادی رصد کرده و در صورت وقوع هر گونه فعالیت مشکوک، هشدار ارسال می کند. وظایف اصلی یک سیستم تشخیص نفوذ (IDS) ، تشخیص ناهنجاری و گزارش آن است.

در واقع IDS ، سیستم نرم افزاری است که یک شبکه یا سیستم را برای فعالیت های مخرب یا نقض خط مشی بررسی می کند. هر فعالیت یا تخلف غیرقانونی اغلب یا به صورت مرکزی با استفاده از سیستم SIEM ثبت و یا به ادمین فرستاده می شود. IDS یک شبکه یا سیستم را برای فعالیت های مخرب نظارت می کند و از یک شبکه کامپیوتری در برابر دسترسی غیرمجاز کاربران، از جمله کاربران داخلی، محافظت می کند. وظیفه سیستم یادگیری تشخیص نفوذ، ساختن یک مدل پیش‌بینی‌کننده می باشد که بتواند بین کانکشن های بد مانند تهاجم/ نفوذ و کانکشن های خوب (عادی) تمایز قائل شود.

• یک IDS (سیستم تشخیص نفوذ) ترافیک یک شبکه کامپیوتری را برای شناسایی هرگونه فعالیت مشکوک نظارت می کند.
• داده های به دست آمده را در شبکه تجزیه و تحلیل می کند تا به دنبال الگوها و نشانه های رفتار غیرعادی باشد.
• IDS فعالیت شبکه را با مجموعه ای از قوانین و الگوهای از پیش تعریف شده مقایسه می کند تا هر فعالیتی که ممکن است نشان دهنده حمله یا نفوذ باشد را شناسایی کند.
• اگر IDS چیزی را شناسایی کند که با یکی از این قوانین یا الگوها مطابقت دارد، هشداری را به مدیر سیستم ارسال می کند.
• سپس مدیر سیستم می تواند هشدار را بررسی کرده و برای جلوگیری از هرگونه آسیب یا نفوذ بیشتر اقدام کند.

سیستم های تشخیص نفوذ به 5 نوع طبقه بندی می شوند:

سیستم تشخیص نفوذ شبکه (NIDS):

سیستم های تشخیص نفوذ شبکه (NIDS) ، در شبکه با هدف بررسی ترافیک همه دستگاه های موجود راه اندازی می شوند. NIDS مشاهده ترافیک عبوری در کل سابنت ها (Subnets ) را انجام می دهد و ترافیکی را که روی زیرشبکه ها ارسال می شود با مجموعه حملات شناخته شده مطابقت می دهد. پس از شناسایی یک حمله یا مشاهده رفتار غیرعادی، هشدار می تواند برای مدیر ارسال شود. نمونه ای از NIDS نصب آن بر روی ساب نتی است که فایروال ها در آن قرار دارند تا ببینند آیا کسی در تلاش است فایروال را کرک کند یا خیر.

سیستم تشخیص نفوذ میزبان (HIDS):

سیستم های تشخیص نفوذ میزبان (HIDS) بر روی هاست ها یا دستگاه های مستقل در شبکه اجرا می شود. HIDS فقط پکت های ورودی و خروجی را از دستگاه نظارت می کند و در صورت شناسایی فعالیت مشکوک یا مخرب به مدیر اطلاع می دهد. درواقع سیستم تشخیص نفوذ هاست یک اسنپ شات از فایل های سیستم موجود می گیرد و آن را با اسنپ شات قبلی مقایسه می کند. اگر فایل های تحلیلی سیستم ویرایش یا حذف شده باشند، هشداری برای بررسی به مدیر ارسال می شود.

سیستم تشخیص نفوذ مبتنی بر پروتکل (PIDS):

سیستم تشخیص نفوذ مبتنی بر پروتکل (PIDS) شامل یک سیستم یا عاملی است که به طور مداوم در انتهای یک سرور قرار می گیرد و پروتکل بین کاربر/دستگاه و سرور را کنترل و تفسیر می کند. سعی دارد با نظارت منظم جریان پروتکل HTTPS و پذیرش پروتکل HTTP مربوطه، سرور وب را ایمن کند. از آنجایی که HTTPS رمزگذاری نشده است و قبل از اینکه فوراً وارد لایه ارائه وب خود شود، این سیستم باید در این رابط قرار داشته باشد تا از HTTPS استفاده کند.

سیستم تشخیص نفوذ مبتنی بر پروتکل برنامه (APIDS):

یک سیستم تشخیص نفوذ مبتنی بر پروتکل کاربردی (APIDS) یک سیستم یا عاملی است که معمولاً در یک گروه از سرورها قرار دارد. APIDS نفوذها را با نظارت و تفسیر ارتباطات روی پروتکل های خاص برنامه شناسایی می کند. به عنوان مثال، به دلیل اینکه APIDS ها می توانند در وب سرور با دیتابیس Transact داشته باشند ، قابلیت مانیتورینگ پروتکل SQL را بر روی middleware را نیز دارند.

سیستم تشخیص نفوذ هیبریدی:

سیستم تشخیص نفوذ هیبریدی از ترکیب دو یا چند رویکرد به سیستم تشخیص نفوذ ساخته می شود. در سیستم تشخیص نفوذ ترکیبی، عامل میزبان یا داده های سیستم با اطلاعات شبکه ترکیب می شود تا یک نمای کامل از سیستم شبکه ایجاد شود. سیستم تشخیص نفوذ هیبریدی در مقایسه با سایر سیستم های تشخیص نفوذ موثرتر است. Prelude نمونه ای از Hybrid IDS است.