Een inbraakdetectiesysteem (IDS) inspecteert alle inkomende en uitgaande netwerkactiviteiten en identificeert verdachte patronen die kunnen duiden op een netwerk- of systeemaanval van iemand die probeert in te breken op een systeem of het te compromitteren.
Er zijn verschillende manieren om een IDS te categoriseren:
- misbruik detectie vs onregelmatigheidsdetectie: bij het opsporen van misbruik analyseert de IDS de informatie die het verzamelt en vergelijkt deze met grote databases met aanvalshandtekeningen. In wezen zoekt de IDS naar een specifieke aanval die al is gedocumenteerd. Net als een virusdetectiesysteem is software voor het detecteren van misbruik slechts zo goed als de database met aanvalshandtekeningen die het gebruikt om pakketten mee te vergelijken. Bij anomaliedetectie definieert de systeembeheerder de basislijn, of normale status van de verkeersbelasting, uitsplitsing, protocol en typische pakketgrootte van het netwerk. De anomaliedetector bewaakt netwerksegmenten om hun toestand te vergelijken met de normale basislijn en om afwijkingen op te sporen.
- netwerkgebaseerd vs host-gebaseerde systemen: in een netwerkgebaseerd systeem, of NIDS, worden de individuele pakketten die door een netwerk stromen, geanalyseerd. De NIDS kan kwaadaardige pakketten detecteren die zijn ontworpen om over het hoofd te worden gezien door de simplistische filterregels van een firewall. In een hostgebaseerd systeem onderzoekt de IDS de activiteit op elke individuele computer of host.
- passief systeem vs reactief systeem: in een passief systeem detecteert de IDS een mogelijke inbreuk op de beveiliging, registreert de informatie en signaleert een waarschuwing. In een reactief systeem reageert de IDS op de verdachte activiteit door een gebruiker uit te loggen of door de firewall te herprogrammeren om netwerkverkeer van de vermoedelijke kwaadaardige bron te blokkeren.
Hoewel ze allebei verband houden met netwerkbeveiliging, verschilt een IDS van een firewall doordat een firewall op indringers let om te voorkomen dat ze plaatsvinden. De firewall beperkt de toegang tussen netwerken om inbraak te voorkomen en signaleert geen aanval van binnenuit het netwerk. Een IDS evalueert een vermoedelijke inbraak zodra deze heeft plaatsgevonden en signaleert een alarm. Een IDS let ook op aanvallen die afkomstig zijn van binnen een systeem.