Intrångsdetekteringssystem och intrångsförhindrande system (IDS, IPS)

Intrångsdetekteringssystem (IDS, Intrusion Detection System) och intrångsförhindrande system (IPS, Intrusion Prevention System) som fungerar på nätverksnivå analyserar nätverkstrafiken och dess egenskaper. IDS-system strävar efter att upptäcka möjliga intrångsförsök och agera enligt förutbestämda regler för att hindra skador. Om intrånget upptäcks tillräckligt snabbt kan angriparen identifieras och raderas från systemet omedelbart. Generellt kan det sägas att ju tidigare intrånget upptäcks, desto mindre skada hinner uppstå. Med hjälp av IDS-system är det också möjligt att samla information om attacktekniker och denna information kan utnyttjas när mer effektiva system för intrångsdetektering utvecklas.

Upptäckt av intrång bygger på det antagandet att den nättrafik som angriparen eller ett skadligt program orsakar inte avsevärt skiljer sig från den normala trafiken. Man kan dock inte utgå ifrån att skillnaden mellan den normala nättrafiken och angriparens eller det skadliga programmets trafik skulle vara särskilt stor. Vid tillämpning av en bred tolkning blir allt fler angripare fast, men detta leder också till allt fler falsklarm. På ett motsvarande sätt ger en mer preciserad tolkning mindre falsklarm, men samtidigt blir antalet icke-upptäckta angripare större.

Två av de mest använda metoder vid intrångsdetektering är den statistiska metoden och den regelbaserade metoden. Den statistiska metoden kräver en databas med ett förutbestämt urval av normal nättrafik. Genom statistiska tester jämförs trafiken under analys med denna databas och på basis av jämförelsen analyserar systemet om det är frågan om en angripare eller ett skadligt program eller normal nättrafik. Den regelbaserade metoden för sin del bygger på en rad förutbestämda regler och med hjälp av dessa försöker systemet identifiera, om det är frågan om fingeravtrycket hos det skadliga programmet eller angriparens beteende.