Bir saldırı tespit sistemi (IDS), tüm gelen ve giden ağ faaliyetlerini inceler ve bir sisteme girmeye veya tehlikeye atmaya çalışan birinin ağ veya sistem saldırısını gösterebilecek şüpheli kalıpları tanımlar.
Bir IDS'yi kategorize etmenin birkaç yolu vardır:
- yanlış kullanım tespiti vs anomali tespiti: yanlış kullanım tespitinde, IDS topladığı bilgileri analiz eder ve bunları büyük saldırı imzaları veri tabanlarıyla karşılaştırır. Esasen IDS, önceden belgelenmiş belirli bir saldırıyı arar. Bir virüs algılama sistemi gibi, kötüye kullanım algılama yazılımı da yalnızca paketleri karşılaştırmak için kullandığı saldırı imzaları veritabanı kadar iyidir. Anormallik tespitinde, sistem yöneticisi ağın trafik yükünün, bozulmasının, protokolünün ve tipik paket boyutunun taban çizgisini veya normal durumunu tanımlar. Anormallik algılayıcı, durumlarını normal taban çizgisiyle karşılaştırmak ve anormallikleri aramak için ağ segmentlerini izler.
- ağ tabanlı vs ana bilgisayar tabanlı sistemler: ağ tabanlı bir sistemde veya NIDS'de, bir ağ üzerinden akan bireysel paketler analiz edilir. NIDS, bir güvenlik duvarının basit filtreleme kuralları tarafından gözden kaçacak şekilde tasarlanmış kötü amaçlı paketleri tespit edebilir. Ana bilgisayar tabanlı bir sistemde IDS, her bir bilgisayardaki veya ana bilgisayardaki etkinliği inceler.
- pasif sistem vs reaktif sistem: pasif bir sistemde, IDS olası bir güvenlik ihlali tespit eder, bilgileri günlüğe kaydeder ve bir uyarı sinyali verir. Reaktif bir sistemde, IDS, şüpheli etkinliğe, bir kullanıcının oturumunu kapatarak veya şüpheli kötü amaçlı kaynaktan ağ trafiğini engellemek için güvenlik duvarını yeniden programlayarak yanıt verir.
Her ikisi de ağ güvenliğiyle ilgili olsa da, bir IDS, güvenlik duvarının, bunların olmasını engellemek için izinsiz girişleri araması açısından güvenlik duvarından farklıdır. Güvenlik duvarı, izinsiz girişleri önlemek için ağlar arasındaki erişimi sınırlar ve ağ içinden bir saldırı sinyali vermez. Bir IDS, şüpheli bir izinsiz girişi gerçekleştiğinde değerlendirir ve bir alarm verir. Bir IDS ayrıca bir sistem içinden kaynaklanan saldırıları da izler.