ລະບົບການຊອກຄົ້ນຫາການລະບາດ (IDS) ຕິດຕາມກວດກາການເຄື່ອນໄຫວຂອງເຄືອຂ່າຍແລະຕິດຕາມກວດກາກິດຈະກໍາທີ່ຫນ້າສົງໃສແລະແຈ້ງເຕືອນລະບົບຜູ້ເບິ່ງແຍງລະບົບ. ໃນບາງກໍລະນີ, IDS ອາດຈະຕອບສະຫນອງຕໍ່ການຈະລາຈອນທີ່ຜິດປົກກະຕິຫຼືເປັນອັນຕະລາຍໂດຍການດໍາເນີນການເຊັ່ນການກີດຂວາງຜູ້ໃຊ້ຫຼືແຫຼ່ງ IP ຈາກການເຂົ້າເຖິງເຄືອຂ່າຍ.
IDS ມາໃນຫຼາຍຊະນິດຂອງ "ລົດຊາດ" ແລະເຂົ້າຫາເປົ້າຫມາຍຂອງການຊອກຫາການຈະລາຈອນທີ່ຫນ້າສົງໄສໃນວິທີທີ່ແຕກຕ່າງກັນ. ມີລະບົບກວດພົບການບຸກລຸກ (HIDS) ໂດຍອີງໃສ່ເຄືອຂ່າຍ (NIDS) ແລະໂຮດ (HIDS). ມີ IDS ທີ່ກວດພົບໂດຍອີງໃສ່ການຊອກຫາລາຍເຊັນຂອງໄພຂົ່ມຂູ່ທີ່ເປັນທີ່ຮູ້ຈັກ - ຄືກັນກັບວິທີການ antivirus ທີ່ ປົກກະຕິກວດພົບແລະປ້ອງກັນ malware - ແລະມີ IDS ທີ່ພົບຕາມການປຽບທຽບຮູບແບບການຈະລາຈອນຕໍ່ກັບເສັ້ນທໍາອິດແລະຊອກຫາຄວາມຜິດປະກະຕິ. ມີ IDS ທີ່ພຽງແຕ່ຕິດຕາມແລະເຕືອນແລະມີ IDS ທີ່ປະຕິບັດການປະຕິບັດຫຼືການກະທໍາໃນການຕອບສະຫນອງຕໍ່ໄພຂົ່ມຂູ່ທີ່ພົບ. ພວກເຮົາຈະກວມເອົາແຕ່ລະຄົນເຫຼົ່ານີ້ໂດຍຫຍໍ້.
NIDS
ລະບົບການກວດສອບການເຂົ້າລະບົບເຄືອຂ່າຍແມ່ນຢູ່ໃນຈຸດຍຸດທະສາດຫຼືຈຸດໃນເຄືອຂ່າຍເພື່ອຕິດຕາມການເຂົ້າເຖິງແລະຈາກອຸປະກອນທັງຫມົດໃນເຄືອຂ່າຍ. ຕົວຢ່າງ, ທ່ານຈະສະແກນການເຂົ້າຊົມທັງຫມົດອອກແລະຂາອອກ, ຢ່າງໃດກໍ່ຕາມການເຮັດດັ່ງນັ້ນອາດຈະສ້າງຄາງກະໄຕທີ່ຈະເຮັດໃຫ້ຄວາມໄວຂອງເຄືອຂ່າຍເສຍຫາຍ.
HIDS
ລະບົບການກວດຈັບການບຸກລຸກ ແມ່ນດໍາເນີນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫຼືອຸປະກອນແຕ່ລະເຄືອຂ່າຍ. HIDS ກວດເບິ່ງບັນດາຂໍ້ມູນເຂົ້າອອກແລະຂາອອກຈາກອຸປະກອນເທົ່ານັ້ນແລະຈະແຈ້ງໃຫ້ຜູ້ໃຊ້ຫຼືຜູ້ເບິ່ງແຍງກິດຈະກໍາທີ່ຫນ້າສົງໃສຖືກກວດພົບ
Signature Based
IDS ລາຍເຊັນໂດຍອີງໃສ່ IDS ຈະຕິດຕາມກວດກາບັນດາຂໍ້ມູນໃນເຄືອຂ່າຍແລະປຽບທຽບພວກມັນຕໍ່ກັບຖານຂໍ້ມູນຂອງລາຍເຊັນຫຼືຄຸນລັກສະນະຈາກໄພຂົ່ມຂູ່ທີ່ເປັນອັນຕະລາຍທີ່ຮູ້ຈັກ. ນີ້ແມ່ນຄ້າຍຄືກັບວິທີທີ່ ຊອບແວ antivirus ສ່ວນໃຫຍ່ກວດພົບ malware. ບັນຫາແມ່ນວ່າຈະມີການຊັກຊ້າລະຫວ່າງໄພຂົ່ມຂູ່ໃຫມ່ທີ່ຖືກຄົ້ນພົບຢູ່ໃນປ່າທໍາມະຊາດແລະລາຍເຊັນສໍາລັບການຊອກຄົ້ນຫາໄພຂົ່ມຂູ່ທີ່ຖືກນໍາໃຊ້ກັບ IDS ຂອງທ່ານ. ໃນລະຫວ່າງເວລາທີ່ເລື່ອນເວລາ, IDS ຂອງທ່ານຈະບໍ່ສາມາດກວດສອບຄວາມຂົ່ມຂູ່ໃຫມ່.
Anomaly Based
IDS ເຊິ່ງເປັນຄວາມຜິດປົກກະຕິທີ່ຈະຕິດຕາມການຈະລາຈອນຂອງເຄືອຂ່າຍແລະປຽບທຽບມັນກັບຖານຖານທີ່ຖືກສ້າງຂຶ້ນ. ພື້ນຖານຈະກໍານົດສິ່ງທີ່ເປັນ "ປົກກະຕິ" ສໍາລັບເຄືອຂ່າຍນັ້ນ - ປະເພດໃດແດ່ຂອງແບນວິດທີ່ຖືກນໍາໃຊ້ໂດຍທົ່ວໄປ, ໂປຣແກຣມຫຍັງທີ່ຖືກນໍາໃຊ້, ສິ່ງທີ່ພອດແລະອຸປະກອນໂດຍທົ່ວໄປເຊື່ອມຕໍ່ກັບກັນແລະແຈ້ງເຕືອນໃຫ້ຜູ້ເບິ່ງແຍງລະບົບຫຼືຜູ້ໃຊ້ໃນເວລາທີ່ການຈະລາຈອນຖືກພົບ, ຫຼືຢ່າງຫຼວງຫຼາຍທີ່ແຕກຕ່າງກັນກ່ວາຖານ.
Passive IDS
IDS ຕົວຕັ້ງຕົວຊີ້ວັດແລະການແຈ້ງເຕືອນ. ໃນເວລາທີ່ການຈະລາຈອນທີ່ຫນ້າສົງໄສຫຼືເປັນອັນຕະລາຍຖືກພົບວ່າການເຕືອນແມ່ນຖືກສ້າງຂຶ້ນແລະຖືກສົ່ງໄປຫາຜູ້ເບິ່ງແຍງລະບົບຫຼືຜູ້ໃຊ້, ແລະມັນຂຶ້ນຢູ່ກັບພວກເຂົາທີ່ຈະປະຕິບັດເພື່ອສະກັດກັ້ນກິດຈະກໍາຫຼືຕອບສະຫນອງໃນບາງທາງ.
Reactive IDS
IDS ປະຕິກິລິຍາຈະບໍ່ພຽງແຕ່ກວດເບິ່ງການຈະລາຈອນທີ່ຫນ້າສົງໄສຫຼືເປັນອັນຕະລາຍແລະແຈ້ງເຕືອນຜູ້ບໍລິຫານແຕ່ຈະປະຕິບັດການປະຕິບັດແບບໂຕ້ຕອບທີ່ຖືກຕ້ອງກ່ອນທີ່ຈະຕອບສະຫນອງຕໍ່ໄພຂົ່ມຂູ່. ໂດຍປົກກະຕິນີ້ຫມາຍຄວາມວ່າຈະປ້ອງກັນການເຂົ້າຊົມເຄືອຂ່າຍໃດໆຈາກທີ່ ຢູ່ IP ຫຼືຜູ້ໃຊ້ຂອງແຫຼ່ງຂໍ້ມູນ.
ຫນຶ່ງໃນລະບົບການກວດສອບການເຂົ້າເຖິງທີ່ດີທີ່ສຸດແລະຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງແມ່ນແຫຼ່ງເປີດ, Snort freely ທີ່ມີຢູ່. ມັນມີຢູ່ໃນຈໍານວນແພລະຕະຟອມແລະ ລະບົບປະຕິບັດການ ລວມທັງ Linux ແລະ Windows . Snort ມີຂະຫນາດໃຫຍ່ແລະຊື່ສັດຕໍ່ໄປນີ້ແລະມີຊັບພະຍາກອນຈໍານວນຫຼາຍທີ່ມີຢູ່ໃນອິນເຕີເນັດທີ່ທ່ານສາມາດໄດ້ຮັບລາຍເຊັນເພື່ອປະຕິບັດເພື່ອກວດສອບການຂົ່ມຂູ່ທີ່ສຸດ. ສໍາລັບຄໍາຮ້ອງສະຫມັກການຊອກຄົ້ນຫາຂີ້ເຫຍື້ອອື່ນໆ, ທ່ານສາມາດໄປຢ້ຽມຢາມ Software Intrusion Detection Software .
ມີສາຍທີ່ລະອຽດລະຫວ່າງ firewall ແລະ IDS. ນອກນັ້ນຍັງມີເຕັກໂນໂລຢີທີ່ເອີ້ນວ່າ IPS - ລະບົບປ້ອງກັນການບຸກລຸກ . IPS ເປັນສິ່ງຈໍາເປັນເປັນ Firewall ເຊິ່ງລວມກັນລະບົບການລະດັບລະດັບແລະລະດັບການນໍາໃຊ້ລະບົບປະຕິບັດງານທີ່ມີລະຫັດ ID ທີ່ມີປະສິດທິພາບເພື່ອປົກປ້ອງເຄືອຂ່າຍ. ມັນເບິ່ງຄືວ່າເວລາທີ່ໃຊ້ໄຟວໍ, IDS ແລະ IPS ໃຊ້ຄຸນລັກສະນະຫຼາຍຂຶ້ນຈາກກັນແລະເຮັດໃຫ້ສາຍຕາປະທັບໃຈຫລາຍຂຶ້ນ.
ໂດຍພື້ນຖານແລ້ວ, firewall ຂອງທ່ານແມ່ນເສັ້ນທໍາອິດຂອງທ່ານໃນການປ້ອງກັນປະຕູ. ການປະຕິບັດທີ່ດີທີ່ສຸດ ແນະນໍາວ່າໄຟວໍຂອງທ່ານຖືກຕັ້ງຄ່າຢ່າງຊັດເຈນໃຫ້ DENY ທັງຫມົດເຂົ້າມາແລະຫຼັງຈາກນັ້ນທ່ານເປີດຂຸມໃນບ່ອນທີ່ຈໍາເປັນ. ທ່ານອາດຈະຈໍາເປັນຕ້ອງເປີດ Port 80 ເພື່ອໂຮດເວັບໄຊທ໌ຫລື Port 21 ເພື່ອໂຮດ ເຄື່ອງແມ່ຂ່າຍຂອງໄຟລ໌ FTP . ແຕ່ລະຂຸມເຫຼົ່ານີ້ອາດຈະເປັນສິ່ງຈໍາເປັນຈາກຈຸດຫນຶ່ງແຕ່ພວກເຂົາຍັງເປັນຕົວແທນຂອງ vectors ທີ່ເປັນໄປໄດ້ສໍາລັບການຈະລາຈອນທີ່ເປັນອັນຕະລາຍທີ່ຈະເຂົ້າໄປໃນເຄືອຂ່າຍຂອງທ່ານແທນທີ່ຈະຖືກກັ້ນໂດຍ firewall.
IDS ຈະຕິດຕາມການຈາລະຈອນເຂົ້າແລະຂາອອກແລະລະບຸ ການຈະລາຈອນ ທີ່ຫນ້າສົງໄສຫຼື ເປັນອັນຕະລາຍ ທີ່ອາດຈະຫລຸດລົງຈາກ Firewall ຂອງທ່ານຫຼືມັນ ອາດຈະເກີດຂື້ນຈາກພາຍໃນເຄືອຂ່າຍຂອງທ່ານເຊັ່ນກັນ.
IDS ສາມາດເປັນເຄື່ອງມືທີ່ດີສໍາລັບການຕິດຕາມແລະປ້ອງກັນເຄືອຂ່າຍຂອງທ່ານຈາກກິດຈະກໍາທີ່ເປັນອັນຕະລາຍແຕ່ຢ່າງໃດກໍ່ຕາມ, ພວກເຂົາຍັງມີຄວາມປັ່ນປ່ວນທີ່ບໍ່ຖືກຕ້ອງ. ມີພຽງແຕ່ກ່ຽວກັບການແກ້ໄຂ IDS ໃດໆທີ່ທ່ານປະຕິບັດ, ທ່ານຈະຕ້ອງ "ປັບມັນ" ເມື່ອມັນຕິດຕັ້ງຄັ້ງທໍາອິດ. ທ່ານຕ້ອງການ IDS ທີ່ຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງເພື່ອໃຫ້ຮູ້ວ່າການຈະລາຈອນຕາມປົກກະຕິກ່ຽວກັບເຄືອຂ່າຍຂອງທ່ານທຽບກັບສິ່ງທີ່ອາດຈະເປັນການຈະລາຈອນທີ່ເປັນອັນຕະລາຍແລະທ່ານຫຼືຜູ້ບໍລິຫານທີ່ຮັບຜິດຊອບຕໍ່ການແຈ້ງເຕືອນ IDS ຕ້ອງເຂົ້າໃຈວ່າການແຈ້ງເຕືອນແມ່ນຫຍັງແລະວິທີການຕອບສະຫນອງຢ່າງມີປະສິດທິພາບ.