Có hai mô hình căn bản cho thiết kế HIDS là: Mô hình tập trung (Centralized HIDS) và Mô hình phân tán (Distributed HIDS). Sự khác biệt giữa hai mô hình này tập trung ở giai đoạn phân tích gói tin. Trong khi Mô hình tập trung bắt buộc dữ liệu phải được gửi đến Trung tâm điều khiển (The Command Console) để phân tích, ở Mô hình phân tán (Distributed HIDS), dư liệu được xử lí ngay và chỉ gửi cảnh báo (alert notification) đến Trung tâm điều khiển (The Command Console).
Mô hình Centralized Host – based IDS (Tập trung)
Như đã nói ở trên, trong Mô hình tập trung, dữ liệu được thu thập ở các máy (host) và gửi về Trung tâm điều khiển (The Command Console) để phân tích. Vì dữ liệu được thu thập và gửi từ các máy, hiệu suất của mô hình này không cao. Ngoài ra, mô hình này không có khả năng phát hiện và phản hồi theo thời gian thực.
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Hinh: Mô hình tập trung (Centralized HIDS)
Mô hình Distributed Host – based IDS (Phân tán)
Điểm khác biệt quan trọng của Mô hình tập trung và Mô hình phân tán là nơi chứa Bộ phận phát hiện (detection engine) và phân tích (analysis). Lợi thế quan trọng của mô hình này là dữ liệu xâm nhập được giám sát theo thời gian thực.
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
VII. Phân tích trong IDS
IDS có thể hoạt động một cách liên tục hoặc có chu kỳ (tương ứng là IDS thời gian thực và IDS khoảng thời gian), do đó chúng sử dụng hai phương pháp phát hiện xâm nhập khác nhau. Phân tích kiểm định là phương pháp phổ biến được sử dụng bởi các hệ điều hành một cách định kỳ. Ngược lại, IDS có thể triển khai trong môi trường thời gian thực được thiết kế cho việc kiểm tra online và phân tích các sự kiện hệ thống và hoạt động người dùng.