NIDS giám sát toàn bộ mạng con (hoặc phân đoạn mạng) của nó bằng cách lắng nghe tất cả các gói tin trên mạng con đó (nó thay đổi chế độ hoạt động của card mạng (NIC) vào trong chế độ promiscuous). Bình thường, một NIC hoạt động ở chế độ nonpromiscuous, nghĩa là nó chỉ nhận chỉ các gói tin mà có địa chỉ MAC đích trùng với là địa chỉ của nó, các gói tin khác sẽ không được xử lý và bị loại bỏ. Để giám sát tất cả các truyền thông trong mạng con, NIDS phải chấp nhận tất cả các gói tin và chuyển chúng tới stack để xử lý. Do vậy nó sẽ phải thiết lập chế độ hoạt động cho card mạng là promiscuous.
Hình 3.4 minh hoạ một mạng mà sử dụng 3 NDIS. Các NIDS được đặt trên các mạng con khác nhau.
Hình 3.4: Một ví dụ về sơ đồ cài đặt NIDS.
Ưu điểm của Network-based IDS (NIDS): Network-based IDS có nhiều ưu điểm qua việc bắt gói và phân tích thời gian thực mà không dễ được thực hiện với chỉ riêng Host-based IDS. Dưới là một vài ưu điểm đặc trưng của NIDS:
Giá thành: Network-based IDS cho phép tạo chiến lược lâu dài chỉ cần sử dụng các điểm truy cập then chốt để xem xét luồng truyền thông trên mạng mà đã được dự trù từ trước cho một số hệ thống mà cần được bảo vệ. Nó không yêu cầu phần mềm được cài đặt và được quản lý trên nhiều máy như Host-based IDS.
Phân tích gói: Network-based IDS kiểm tra tất cả các phần trong gói tin để tìm ra dấu hiệu của một cuộc tấn công trái phép bao gồm: Các phần đầu (header) của gói tin và phần nội dung của gói tin (payload).
Chống lại việc xóa dấu vết của Hacker: Network-based IDS kiểm tra tất cả luồng thông tin trên mạng một cách tức thời để phát hiện tấn công trong thời gian thực vì thế Hacker không thể xóa dấu vết của cuộc tấn công. Việc bắt dữ liệu không những giúp tìm ra tấn công mà nó còn chứa thông tin về kẻ tấn công giúp cho việc xác
định định danh của kẻ tấn công đó, đây có thể được coi làm bằng chứng.
Phát hiện và đáp ứng thời gian thực: Network-based IDS phát hiện các cuộc tấn công đang xảy ra trong thời gian thực và do vậy tạo ra các phản ứng nhanh hơn. Ví dụ, một hacker khởi tạo một tấn công từ chối dịch vụ (DoS) dựa trên TCP, tấn công này có thể bị chặn bằng cách IDS sẽ gửi một TCP reset để ngăn phiên TCP này, do vậy tấn công gắn với phiên TCP đó bị loại bỏ trước khi nó làm sụp đổ hay phá hoại hệ thống. Đáp ứng thời gian thực giúp ta nhanh chóng có phương án đáp trả.
Độc lập với hệ điều hành: Network-based IDS thì không phụ thuộc vào hệ điều hành trong việc phát hiện tấn công.
Nhược điểm của Network-based IDS (NIDS):
Có thể xảy ra trường hợp báo động giả (false positive), tức không có sự xâm nhập mà NIDS báo là có xâm nhập.
Không thể phân tích các traffic đã được mã hóa (vd: SSL, SSH, IPSec…).
NIDS đòi hỏi phải được cập nhật các dấu hiệu mới nhất để thực sự an toàn.
Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.
Không cho biết việc tấn công có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất.