Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền truy nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là “Administrator”, trên NetWare là “Supervisor”. Các câu lệnh và mã thực hiện cho kỹ thuật trên có thể kiếm được trên Internet, ví dụ như khai thác lỗi tràn bộ đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ nhớ. Khi chiến thuật này được sử dụng với chương trình hệ điều hành đặc quyền, nó thường gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền truy cập “superuser”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:
- Đoán hay bẻ khóa của root hay administrator. - Gây tràn bộ đệm.
- Khai thác Windows NT registry.
- Truy nhập và khai thác console đặc quyền.
- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.
Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên thiết bị chủ. Do Host-based IDS có thể tìm kiếm được những người dùng không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDS có thể ngừng hành động này. Ngoài ra hành động chiếm đặc quyền của hệ điều hành và ứng dụng có thể được định nghĩa trong tập các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công xảy ra.