Un système de détection d'intrusion (IDS) inspecte toutes les activités réseau entrantes et sortantes et identifie les modèles suspects qui peuvent indiquer une attaque réseau ou système de la part d'une personne tentant de pénétrer ou de compromettre un système.
Il existe plusieurs façons de catégoriser un IDS:
- détection des abus vs. Détection d'une anomalie: lors de la détection des abus, l'IDS analyse les informations qu'il collecte et les compare à de grandes bases de données de signatures d'attaques. Essentiellement, l'IDS recherche une attaque spécifique qui a déjà été documentée. À l'instar d'un système de détection de virus, le logiciel de détection des abus n'est aussi bon que la base de données des signatures d'attaque qu'il utilise pour comparer les paquets. Lors de la détection d anomalies, l administrateur système définit l état de base, ou état normal, de la charge de trafic, de la répartition, du protocole et de la taille de paquet typique du réseau. Le détecteur d'anomalies surveille les segments du réseau pour comparer leur état à la ligne de base normale et rechercher les anomalies.
- basé sur le réseau vs. systèmes basés sur l'hôte: dans un système basé sur un réseau, ou NIDS, les paquets individuels circulant à travers un réseau sont analysés. Le NIDS peut détecter les paquets malveillants conçus pour être ignorés par les règles de filtrage simplistes d'un pare-feu. Dans un système basé sur l'hôte, l'IDS examine l'activité sur chaque ordinateur ou hôte individuel.
- système passif vs. système réactif: dans un système passif, l'IDS détecte une faille de sécurité potentielle, enregistre les informations et signale une alerte. Dans un système réactif, l'IDS répond à l'activité suspecte en déconnectant un utilisateur ou en reprogrammant le pare-feu pour bloquer le trafic réseau de la source suspectée de malveillance.
Bien qu'ils soient tous deux liés à la sécurité du réseau, un IDS diffère d'un pare-feu en ce qu'un pare-feu surveille les intrusions afin de les empêcher de se produire. Le pare-feu limite l'accès entre les réseaux afin d'éviter toute intrusion et ne signale pas une attaque depuis l'intérieur du réseau. Un IDS évalue une intrusion suspectée une fois qu'elle a eu lieu et signale une alarme. Un IDS surveille également les attaques qui proviennent d'un système.