Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập. Khác với bức tƣờng lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho ngƣời quản trị mạng.
IDS không thực hiện chức năng phân tách giữa mạng nội bộ và mạng công cộng nhƣ bức tƣờng lửa nên không gánh toàn bộ lƣu lƣợng qua nó và do đó không có nguy cơ làm tắc nghẽn mạng.
Intrusion (xâm nhập) đƣợc định nghĩa là bất kỳ một sự kiện hay hành vi nào tác động vào 3 thành phần cơ bản của một hệ thống an toàn là tính Bảo mật, tính Toàn vẹn và tính Khả dụng. IDS phát hiện dấu vết của tấn công bằng cách phân tích hai nguồn thông tin chủ yếu sau đây:
- Thông tin về các thao tác thực hiện trên máy chủ đƣợc lƣu trong nhật ký hệ thống (system log).
- Lƣu lƣợng đang lƣu thông trên mạng.
Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới đƣợc tích hợp vào IDS, giúp nó có khả năng dự đoán đƣợc tấn công và thậm chí phản ứng lại các tấn công đang diễn ra.
Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là: Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lƣu lƣợng trên mạng và các nguồn thông tin khác để phát hiện dấu hiệu xâm nhập. Hai là signature database là cơ sở dữ liệu chứa dấu hiệu (signature) của các tấn công đã đƣợc phát hiện và phân tích. Cơ chế làm việc của signature database giống nhƣ virus database trong các chƣơng trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhận thƣờng xuyên cơ sở dữ liệu này.