Hệ thống phát hiện xâm nhập trái phép có thể được mô tả dựa trên nguồn dữ liệu xử lý. Theo cách mô tả này ta có thể phân hệ thống thành hai loại chính là: host-based IDS và network-based IDS.
Hình 3.1: Sơ đồ phân loại của IDS
3.1. NIDS (Network Intrusion Detection System)
NIDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort)
NIDS sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIPS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không.
Hình 3.3: Mô hình Network IDS
Người ta thường sử dụng 2 kiểu triển khai sau:
Thẳng hàng (Inline ): Một Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyênqua nó giống như trong trường hợp cùa firewall. Thực tế là một số Sensor thẳng hàng được sử dụng như một loại lai giữa firewall và NIDS, một số khác là NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng (blocking network traffic) Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng.
Hình 3.4: Mô hình triển khai Sensor kiểu Inline
Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này.
Thụ động (Passive ): Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát 1 bản sao của các lưu lượng trên mạng. Thường được triển khai giám sát các vị trí quan trọng trong mạng như ranh giới giữa các mạng, các đoạn mạng quan trọng ví dụ như Server farm hoặc DMZ. Sensor thụ động có thể giám sát lưu lượng mạng qua nhiều cách như Spanning port (hoặc Mirror port), Network tap hoặc IDS loadbalancer.
Hình 3.5: Mô hình triển khai Sensor kiểu Passive
3.2. Lợi thế của Network IDS:
Quản lý được cả một network segment (gồm nhiều host) "Trong suốt" với người sử dụng lẫn kẻ tấn công
Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng Tránh DOS ảnh hưởng tới một host nào đó.
Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) Độc lập với OS
3.3. Hạn chế của Network IDS:
Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion.
NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.
Không cho biết việc attack có thành công hay không.
Giới hạn băng thông do những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng.
Có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.