Hệ thống phát hiện xâm nhập dựa vào thống kê có nguyên tắc hoạt động rất đơn giản. Nó theo dõi tất cả các hoạt động động của mạng và những hoạt động nào nó cho là bất thường sẽ được đánh dấu để thông báo cho người quản trị. Hệ thống này xem xét các mẫu lưu thông trong mạng và định ra những hoạt động nào là hoạt động bình thường. Nếu hệ thống hoạt động càng lâu thì độ chính xác càng cao vì nó sẽ quyết định chính xác hành vi nào trong hệ thống mạng là bất thường. Nếu như hệ thống được cài thêm một số giải thuật sử dụng trí tuệ nhân tạo thì hiệu quả sẽ rất cao.
Bình thường, hệ thống IDS sẽ theo dõi mạng xem những hành vi nào là bất th\ường sau đó gửi thông báo cho người quản trị. Người quản trị sau đó xem xét và quyết định hành vi nào thực sự là bất thường và cấu hình lại để hệ thống IDS có thể cảnh báo được chính xác hơn. Quá trình này có thể được lập trình luôn để có thể làm giảm công việc cho người quản trị, tức là chương trình sẽ theo dõi những hành vi bất thường và nếu thấy thực sự trong hệ thống mạng này không phải là bất thường thì nó sẽ tự động cấu hình lại để cho phù hợp với môi trường này.
3.1. Ưu điểm
Hệ thống này có khá nhiều ưu điểm. Quá trình phân tích mẫu trong mạng và những thông báo liên tiếp về những hành vi bất thường trong hệ thống có thể cho người quản trị thấy được những gì là bất thường và những gì là bình thường. Nếu hệ thống bị tấn công bởi những loại sâu mới, virus và cả tấn công DOS thì hệ thống này sẽ báo động dựa trên hành vi bất thường của chúng. Hệ thống này có một ưu điểm khác so với các hệ thống IDS dò tìm dấu hiệu là không phải cập nhật các dấu hiệu mà chỉ cần điều chỉnh lại sao cho thích hợp.
Đặc điểm chính của hệ thống là có thể thông báo hiệu quả về các hành vi tấn công DOS, quét cổng và dùng những cổng không được phép trên một máy nào đó.
3.2. Nhược điểm
Nếu hệ thống IDS này là hệ thống tự học được từ môi trường (có ứng dụng trí tuệ nhân tạo) thì nó có thể sẽ hoạt động không hiệu quả. Bởi vì nều một kẻ xâm nhập dùng nhiều lần chương trình Nmap để gửi các gói tin SYN đi để quét mạng thì sau một thời gian hệ thống sẽ coi hành động đó là hành động bình thường trong mạng và khi đó, hệ thống mạng sẽ không còn được an toàn nữa. Do đó, nếu tích hợp phương pháp tự học (trí tuệ nhân tạo) vào sẽ có thể giảm công việc cho người quản trị nhưng mức độ mạo hiểm sẽ tăng lên.
Chương 4
Xây dựng 1 chương trình IDS