Đây là module quan trọng nhất trong hệthống có nhiệm vụphát hiện các cuộc tấn công. Có hai phương pháp đểphát hiện các cuộc tấn công, xâm nhập là dò sựlạm dụng và dò sựkhông bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sởdữ liệu, các kiểu tấn công mới, do vậy hệthống luôn phải cập nhật các mẫu tấn công mới.
pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu, chúng lưu trữcác mô tả sơ lược vềcác hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thểnhận dạng. Có một số kỹthuật giúp thực hiện dò sựkhông bình thường của các cuộc tấn công như dưới đây: Phát hiện mức ngưỡng: Kỹ thuật này nhấn mạnh việc đo đếm các hoạt
động bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức... thì hệ thống có dấu hiệu bịtấn công. Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệthống phát hiện tấn công sẽchạy ởchế độtựhọc và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độlàm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập. Chế độ tự học có thể chạy song song với chế độlàm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc.
Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt động của các giao thức, các dịch vụ của hệthống đểtìm ra các gói tin không hợp lệ, các hoạt động bất thường vốn là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quảtrong việc ngǎn chặn các hình thức quét mạng, quét cổng đểthu thập thông tin của các tin tặc. Phương pháp dò sựkhông bình thường của hệthống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thểphát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Phương pháp này sẽ là hướng được nghiên cứu nhiều hơn, khắc phục các nhược điểm còn gặp, giảm sốlần cảnh báo sai đểhệthống chạy chuẩn xác hơn.