Inbraakdetectoren monitoren netwerkverkeer of systeemactiviteiten op tekenen van kwaadwillige activiteiten of beleidsschendingen. Deze systemen analyseren gegevens uit verschillende bronnen, zoals netwerkpakketten, systeemlogboeken en gebruikersgedrag, om patronen te detecteren die op een inbraak kunnen duiden. Wanneer verdachte activiteit wordt geïdentificeerd, genereert het systeem waarschuwingen om beheerders op de hoogte te stellen, zodat zij passende actie kunnen ondernemen om de dreiging te beperken.
Een inbraakdetectiesysteem (IDS) maakt gebruik van sensoren om netwerk- of hostgebaseerde gegevens vast te leggen en te analyseren. Deze sensoren kunnen strategisch binnen een netwerk worden geplaatst om verkeer op kritieke punten of op individuele hosts te monitoren om activiteiten op systeemniveau te observeren. De IDS vergelijkt de vastgelegde gegevens met vooraf gedefinieerde handtekeningen van bekende bedreigingen of op afwijkingen gebaseerde profielen die normaal gedrag vertegenwoordigen. Wanneer afwijkingen van deze handtekeningen of profielen worden gedetecteerd, registreert de IDS de gebeurtenis en genereert een waarschuwing voor verder onderzoek.
Het principe van een inbraakdetectiesysteem is gebaseerd op het identificeren van afwijkingen van normaal gedrag of bekende dreigingspatronen. IDS’en gebruiken twee belangrijke detectiemethoden: op handtekeningen gebaseerde detectie en op anomalie gebaseerde detectie. Op handtekeningen gebaseerde detectie is afhankelijk van een database met bekende aanvalspatronen en handtekeningen om kwaadaardige activiteiten te identificeren. Op afwijkingen gebaseerde detectie stelt een basislijn van normaal gedrag vast en detecteert afwijkingen door afwijkingen van deze basislijn te identificeren. Het principe is om potentiële bedreigingen te identificeren en erop te reageren voordat ze aanzienlijke schade kunnen aanrichten.
Een inbraakpreventiesysteem (IPS) werkt op dezelfde manier als een IDS, maar met de extra mogelijkheid om gedetecteerde bedreigingen actief te blokkeren. Een IPS bewaakt het netwerkverkeer of de systeemactiviteiten in realtime en onderneemt onmiddellijk actie wanneer kwaadaardige activiteit wordt gedetecteerd. Deze actie kan bestaan uit het laten vallen van kwaadaardige pakketten, het blokkeren van IP-adressen of het beëindigen van verdachte verbindingen. Door detectie- en preventiemogelijkheden te combineren, kan een IPS aanvallen stoppen voordat ze slagen, waardoor een extra beveiligingslaag wordt geboden.
De twee technieken voor inbraakdetectie zijn op handtekeningen gebaseerde detectie en op anomalie gebaseerde detectie. Op handtekeningen gebaseerde detectie omvat het vergelijken van bewaakte activiteiten met een database met bekende aanvalshandtekeningen om overeenkomsten te identificeren. Deze methode is effectief voor het detecteren van bekende bedreigingen, maar kan moeite hebben met nieuwe, onbekende aanvallen. Op afwijkingen gebaseerde detectie omvat daarentegen het vaststellen van een basislijn van normaal gedrag en het identificeren van afwijkingen van deze norm. Deze methode kan voorheen onbekende bedreigingen detecteren, maar kan valse positieven opleveren als normaal gedrag niet nauwkeurig is gedefinieerd. Beide technieken worden vaak samen gebruikt in inbraakdetectiesystemen om uitgebreide bescherming te bieden.