Hệ thống dò tìm xâm nhập có thể chạy ở chế độ thời gian thực hoặc theo chu kỳ và vì thế chúng có phương thức xử lý dữ liệu là khác nhau.
Xử lý dữ liệu nhật ký (Audit trail proccessing)
Có rất nhiều kết quả liên quan đến quá trình xử lý nhật ký sự kiện hệ thống, vì thế sẽ rất rủi ro nếu lưu giữ nhật ký bằng một file trên hệ thống. Tốt hơn là người quản trị nên lưu giữ một bản nhật ký thông qua hệ thống lưu trữ mạng. Ngoài ra với chức năng lưu nhật ký sự kiện, hệ thống sẽ tốn một lượng tài nguyên nhất định để thực hiện. Một số ứng dụng nên thực hiện nén dữ liệu trước khi gửi để giảm lưu lượng mạng, một số ứng dụng khác không nên thực hiện nén để tránh làm ảnh hưởng đến tải của hệ thống.
Có nhiều kết quả liên quan đến tiến trình xử lý nhật ký hệ thống. Việc lưu giữ bản ghi các sự kiện lên một file đơn cần phải tránh bởi vì những kẻ xâm nhập có thể lợi dụng đặc điểm này làm thay đổi nhật ký hệ thống. Tốt nhất là nên lưu giữ một bản trên hệ thống lưu giữ trên mạng, điều này có thể sẽ gây một ảnh hưởng nào đó đến năng lực hoạt động của mạng và hệ thống.
Ngoài ra nếu nhìn theo quan điểm chức năng, việc ghi lại mọi sự kiện của hệ thống có thể sẽ ảnh hưởng tới tài nguyên của hệ thống, nén file có thể làm giảm tải các gói tin trên mạng. Thực tế việc xác định những thông tin nào cần ghi lại trong nhật ký sự kiện hệ thống là khá khó khăn bởi vì nếu ghi thiếu, chắc chắn sẽ có một kiểu tấn công chưa biết bị bỏ qua. Cũng rất khó để có thể xác định chính xác kích thước của hệ thống file ghi sự kiện hệ thống, thường phải thông qua kinh nghiệm để ước lượng. Nhìn chung điều này phụ thuộc lớn vào giải pháp của hệ thống IDS, nhưng một điều chắc chắn là hệ thống lưu giữ nhật ký phải lưu được những thông tin để phục vụ cho việc phân tích sau đó.
Dưới đây là một số lý do đối với việc cần thiết phải có hệ thống IDS sử dụng công cụ phân tích nhật ký:
- Dò tìm những hành động xâm nhập có chu kỳ. - Xác định chính xác kẻ xâm nhập.
- Xác định điểm yếu của hệ thống.
Sự phát triển của việc truy nhập, đặc điểm người dùng, đặc điểm lưu lượng mạng là rất quan trọng đối với hệ thống IDS dựa trên phương thức dò tìm sự bất thường.
Bản ghi kiểm tra có thể cung cấp phương thức chống lại sự tấn công mạng. Nguyên lý của hệ thống IDS dựa trên thông tin ghi lại sự kiện mạng cần phải có những khả năng sau:
- Cho phép thay đổi tham số để dễ dàng ghi lại những hoạt động của hệ thống theo những cách khác nhau.
- Cung cấp khả năng loại bỏ việc ghi nhật ký để tránh trường hợp mạng, hệ thống bị tấn công DoS.
- Đối với việc xử lý file lớn, việc xử lý sẽ sử dụng các kỹ thuật khác, ví dụ tối ưu hóa dữ liệu, trí tuệ nhân tạo v.v….
- Tối thiểu hóa hợp lý việc sử dụng tài nguyên mạng cho mục đích ghi nhật ký.
Xử lý thời gian thực (on-the-fly proccessing)
Với phương thức xử lý thời gian thực, hệ thống IDS hoạt động đáp ứng lập tức đối với sự kiện của mạng. Nhìn chung, một luồng gói tin là được kiểm tra liên tục, với phương thức này, hệ thống IDS sử dụng kiến thức có sẵn về hoạt động mạng tại thời điểm theo dõi để phát hiện những tấn công tại thời điểm đó, không tìm kiếm những tấn công đã qua.
Sự phức tạp của việc tính toán và thuật toán ở đây đã hạn chế tính nhanh và hiệu quả của quá trình, mà thường là rất đơn giản. Hạn chế này là do sự kết hợp giữa hai yếu tố chính: khả năng dò tìm tấn công và cơ chế xử lý dữ liệu.
Tại một thời điểm, những công cụ xử lý yêu cầu một lượng lớn bộ đệm, vì không có dữ liệu cần lưu trữ. Vì thế, một hệ thống IDS có thể thỉnh thoảng bị mất gói tin, do độ tin cậy của việc xử lý nhiều gói tin là không cao.
- Hệ thống này có ưu thế hơn trong quá trình đang điễn ra tấn công mạng và thậm chí khi đã ngăn chặn được tấn công.
- Khả năng bao phủ rộng các lỗ hổng an ninh của mạng với nhiều dạng tấn công khác nhau, thậm chí cả DoS.
- Tài nguyên hệ thống ít lãng phí hơn so với hệ thống xử lý thông tin nhật ký. Nhược điểm của hệ thống:
- Việc xác định nguồn tấn công là dựa trên địa chỉ mạng được lấy ra từ gói tin. Việc này sẽ gặp khó khăn khi bị giả mạo địa chỉ, những tấn công giả mạo địa chỉ sẽ khó truy tìm và ngăn chặn hơn.
- Không thể cung cấp cho mạng nếu trong đó có thực hiện mã hóa gói tin. - Bộ phân tích chỉ sử dụng một phần của gói tin nên khả năng dò tìm cũng bị hạn chế.
- Việc thực hiện quét mạng liên tục làm giảm đi thông lượng của phân mạng có chứa hệ thống IDS. Điều này đặc biệt nghiêm trọng khi IDS sử dụng gần với thiết bị tường lửa (Firewall).