Để đảm bảo hoạt động của mạng ổn định và an toàn, nhiều giải pháp an ninh đã được thực hiện trên mạng như thiết lập hệ thống firewall, Phần mềm
Kis; thiết lập các cơ chế xác thực; mã hóa v.v… tuy nhiên những hệ thống an ninh này đều chưa có khả năng phát hiện và chống lại những xâm nhập, tấn công mới, ví dụ tấn công ssh; DoS, DDOS v.v… vì thế nhu cầu đặt ra cho mạng là phải thiết lập được một hệ thống cảnh báo sớm những tấn công có thể hoặc đang xảy ra.
Mục tiêu xây dựng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng. Một mặt nó giúp hệ thống an toàn trước những nguy cơ tấn công, mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện được những nguy cơ tiềm ẩn dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có thể góp phần loại trừ được một cách đáng kể những lỗ hổng về bảo mật trong môi trường mạng.
3.2.1. Xây dựng hệ thống IDS cho máy chủ phần mềm
Hình 3. 3: Mô hình IDS cho máy chủ phần mềm
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ (HIDS) có thể quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có
thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không.