İzinsiz giriş dedektörleri, ağ trafiğini veya sistem etkinliklerini kötü amaçlı etkinlik veya politika ihlali belirtileri açısından izleyerek çalışır. Bu sistemler, izinsiz girişe işaret edebilecek kalıpları tespit etmek için ağ paketleri, sistem günlükleri ve kullanıcı davranışı gibi çeşitli kaynaklardan gelen verileri analiz eder. Şüpheli etkinlik tespit edildiğinde sistem, yöneticileri bilgilendirmek için uyarılar oluşturarak yöneticilerin tehdidi azaltmak için uygun eylemi gerçekleştirmesine olanak tanır.
İzinsiz giriş tespit sistemi (IDS), ağ veya ana bilgisayar tabanlı verileri yakalamak ve analiz etmek için sensörler kullanarak çalışır. Bu sensörler, kritik noktalardaki trafiği izlemek için bir ağın içine veya sistem düzeyindeki etkinlikleri gözlemlemek için bireysel ana bilgisayarlara stratejik olarak yerleştirilebilir. IDS, yakalanan verileri bilinen tehditlerin önceden tanımlanmış imzalarıyla veya normal davranışı temsil eden anormallik tabanlı profillerle karşılaştırır. Bu imzalardan veya profillerden sapmalar tespit edildiğinde IDS, olayı günlüğe kaydeder ve daha fazla araştırma için bir uyarı oluşturur.
İzinsiz giriş tespit sisteminin prensibi, normal davranıştan veya bilinen tehdit modellerinden sapmaların belirlenmesine dayanır. IDS’ler iki ana algılama yöntemini kullanır: imza tabanlı algılama ve anormallik tabanlı algılama. İmza tabanlı algılama, kötü amaçlı etkinlikleri tanımlamak için bilinen saldırı modellerinden ve imzalardan oluşan bir veritabanına dayanır. Anomaliye dayalı tespit, normal davranışa ilişkin bir temel oluşturur ve bu temel çizgiden sapmaları tanımlayarak anormallikleri tespit eder. Prensip, potansiyel tehditleri ciddi hasara yol açmadan önce tespit etmek ve bunlara yanıt vermektir.
İzinsiz giriş önleme sistemi (IPS), IDS’ye benzer şekilde çalışır ancak tespit edilen tehditleri etkin bir şekilde engelleme ek yeteneğiyle birlikte çalışır. IPS, ağ trafiğini veya sistem etkinliklerini gerçek zamanlı olarak izler ve kötü amaçlı etkinlik tespit edildiğinde anında harekete geçer. Bu eylem, kötü amaçlı paketlerin bırakılmasını, IP adreslerinin engellenmesini veya şüpheli bağlantıların sonlandırılmasını içerebilir. Bir IPS, tespit ve önleme yeteneklerini birleştirerek, saldırıları başarılı olmadan önce durdurabilir ve ek bir güvenlik katmanı sağlayabilir.
İzinsiz giriş tespitine yönelik iki teknik, imza tabanlı tespit ve anormallik bazlı tespittir. İmza tabanlı tespit, eşleşmeleri belirlemek için izlenen etkinlikleri bilinen saldırı imzalarından oluşan bir veritabanıyla karşılaştırmayı içerir. Bu yöntem bilinen tehditleri tespit etmede etkilidir ancak yeni, bilinmeyen saldırılarla mücadele edebilir. Anomaliye dayalı tespit ise normal davranışın temel çizgisini oluşturmayı ve bu normdan sapmaları tanımlamayı içerir. Bu yöntem önceden bilinmeyen tehditleri tespit edebilir ancak normal davranış doğru şekilde tanımlanmazsa yanlış pozitifler üretebilir. Kapsamlı koruma sağlamak için her iki teknik de saldırı tespit sistemlerinde sıklıkla birlikte kullanılır.