İzinsiz Giriş Tespit Sistemi (IDS) tespit yöntemleri öncelikle potansiyel güvenlik ihlallerini veya kötü niyetli faaliyetleri belirlemek için ağ trafiğini veya sistem faaliyetlerini izlemeyi içerir. IDS tarafından yaygın olarak kullanılan yöntemlerden biri imza tabanlı tespittir. Bu teknik, ağ trafiğinde veya sistem günlüklerinde gözlemlenen olayların veya kalıpların, bilinen saldırı veya anormalliklerin bilinen imzaları veya kalıplarıyla karşılaştırılmasını içerir. Bir eşleşme bulunduğunda IDS, yöneticileri olası bir güvenlik olayı konusunda bilgilendirmek için bir uyarı verir.
İzinsiz Giriş Tespit ve Önleme Sistemleri (IDPS) tarafından kullanılan diğer bir tespit yöntemi, anormallik bazlı tespit içerir. Bu yaklaşım, ağ trafiği, sistem süreçleri veya kullanıcı etkinlikleri için normal davranışın temelini oluşturur. Sistem daha sonra bu temel çizgiden şüpheli veya kötü niyetli davranışa işaret edebilecek sapmaları izler. Anomaliye dayalı algılama, önceden bilinmeyen tehditlerin veya bilinen imzalarla eşleşmeyen sıfır gün saldırılarının belirlenmesinde etkilidir.
İmza tabanlı tespit, IDS tarafından kullanılan en yaygın yöntemlerden biridir. Ağ trafiğindeki veya sistem günlüklerindeki belirli bayt dizileri gibi bilinen kötü amaçlı etkinlikleri temsil eden imzalar veya kalıplar oluşturmayı içerir. Bu imzalar, yeni tehditleri ve güvenlik açıklarını yansıtacak şekilde düzenli olarak güncellenmektedir. IDS, gözlemlenen ağ trafiği veya sistem etkinliği ile veritabanındaki bir imza arasında bir eşleşme tespit ettiğinde, yöneticileri potansiyel bir güvenlik olayı konusunda bilgilendirmek için bir uyarı oluşturur.
Algılama Kimliği,
IDS, tespit edilen bir güvenlik olayına veya uyarısına atanan benzersiz tanımlayıcıyı ifade eder. IDS tarafından oluşturulan her uyarıya, yöneticilerin güvenlik olaylarını etkili bir şekilde izlemesine ve yönetmesine yardımcı olan bir algılama kimliği atanır. Tespit kimliği tipik olarak tespit edilen saldırının veya anormalliğin türü, olayın zaman damgası ve olaya müdahale ve hafifletmeye yardımcı olacak diğer ilgili ayrıntılar gibi bilgileri içerir.
Bir IDS sensörü, ağ trafiğini veya sistem etkinliklerini gerçek zamanlı veya neredeyse gerçek zamanlı olarak izleyerek çalışır. Sensör, ağ paketlerinden, sistem günlüklerinden veya diğer kaynaklardan veri toplar ve bu verileri imza tabanlı veya anormallik tabanlı algılama gibi algılama yöntemlerini kullanarak analiz eder. Sensör, önceden tanımlanmış kriterlere uygun şüpheli veya kötü amaçlı bir etkinlik tespit ettiğinde, yöneticileri veya güvenlik personelini uyarmak için uyarılar veya bildirimler oluşturur. IDS sensörleri, kapsamlı kapsama sağlamak ve olası güvenlik tehditlerinin erken tespitini sağlamak için ağ geçitleri, anahtarlar veya sunucular gibi bir ağdaki çeşitli noktalara yerleştirilebilir.