August 17
Un sistema di rilevamento delle intrusioni è parte della sicurezza di rete per la rilevazione di attacchi dannosi o ostili al di fuori o all'interno della rete. E 'simile a un firewall che blocca intrusi di ottenere accesso a una rete, ma è più sofisticato in quanto utilizza anche diversi algoritmi per determinare se l'accesso illegale o improprio si sta verificando all'interno della rete. Non si limita a bloccare punti di ingresso, ma analizza i dati che passa attraverso la rete ed identifica attività di rete sospette.
Un IDS in grado di rilevare le attività sospette, compresa l'attività di origine all'interno della rete. Si impiega un meccanismo complesso per determinare attività venendo in e fuori della rete. Un utente del dipartimento contabile, che accede improvvisamente file dal reparto IT o HR può avvisare un IDS come attività sospette. Ciò è particolarmente vero se l'amministratore di rete non ha concesso all'utente l'accesso ai file in altri reparti. IDS può anche rilevare gli account falsi o rubati, e agire immediatamente su tali intrusioni.
Un IDS può anche rilevare quando gli individui all'interno della rete risorse di rete uso improprio. Gli utenti trovano il modo per aggirare le policy di sicurezza di rete. Un IDS rileva se un utente ha aggirato, per esempio, le impostazioni del proxy per accedere a siti Web proibiti durante le ore lavorative. Si può anche scoprire se un film o utente scarica file musicali da Internet, che rallenta l'intera rete. Un IDS consente di rilevare quale utente o un computer specifico violati politiche di sicurezza.
Gli utenti più esperti possono fare più di politiche di sicurezza eludere; possono anche modificare i registri che memorizzano le informazioni per rimuovere eventuali tracce delle loro attività di rete. Un IDS rileva comportamenti ostili e sospetti in tempo reale da subito identificando se un individuo tenta di scaricare i filmati utilizzando la larghezza di banda di rete o cerca di rubare un account utente. Esso conserva anche percorsi prove e di rete delle attività dell'utente. Questo rende ogni inquinamento delle prove quasi impossibile.
Perché un IDS impiega metodi in tempo reale per il rilevamento di intrusioni e attacchi di rete, è in grado di monitorare immediatamente tutte le attività e il traffico nella rete, ed esaminare tutti i dati che passano attraverso la rete. Si esamina anche i dati da una prospettiva a livello utente. Si analizza computer ogni singolo utente, il tipo di accesso fornito al computer e l'utente, e tutte le attività che avvengono tra gli utenti, computer e altri dispositivi in rete.