Bir izinsiz giriş tespit sisteminin (IDS) adımları tipik olarak veri toplama, veri analizi, tespit, uyarı oluşturma ve yanıtı içerir. Veri toplama, ağ trafiği, sistem günlükleri ve uygulama etkinlikleri gibi çeşitli kaynaklardan bilgi toplamayı içerir. Veri analizi, izinsiz girişin göstergesi olan kalıpları veya davranışları tanımlamak için bu bilgileri inceler. Daha sonra potansiyel tehditleri tanımlamak için imza tabanlı veya anormallik tabanlı teknikler gibi tespit yöntemleri uygulanır. Bir tehdit algılandığında IDS, yöneticileri bilgilendirmek için bir uyarı oluşturur. Son adım, olayın araştırılmasını, tehdidin azaltılmasını ve gelecekteki olayları önlemek için algılama kurallarının güncellenmesini içerebilecek şekilde uyarıya yanıt vermeyi içerir.
İzinsiz giriş tespit süreci, ağ trafiğini veya sistem etkinliklerini izleyen sensörlerin veya aracıların konuşlandırılmasıyla başlar. Bu sensörler sürekli olarak veri topluyor ve analiz için IDS’ye gönderiyor. IDS, verileri analiz etmek ve herhangi bir kötü amaçlı etkinlik belirtisini belirlemek için önceden tanımlanmış imzaları veya anormallik tespit algoritmalarını kullanır. Potansiyel bir tehdit tespit edilirse IDS, olayı günlüğe kaydeder ve bir uyarı oluşturur. Uyarı, kötü amaçlı etkinliğin engellenmesi, izinsiz girişin kaynağının araştırılması ve gelecekteki saldırıların engellenmesi için gerekli adımların atılması gibi uygun yanıtı belirleyen güvenlik personeli tarafından incelenir.
Saldırı tespit sistemlerine yönelik teknikler arasında imza tabanlı tespit, anormallik bazlı tespit ve hibrit tespit yer alır. İmza tabanlı algılama, izlenen etkinlikleri bilinen saldırı modelleri ve imzalardan oluşan bir veritabanıyla karşılaştırır. Anomaliye dayalı tespit, normal davranış için bir temel oluşturur ve bu temel çizgiden sapmaları potansiyel tehditler olarak tanımlar. Hibrit algılama, algılama doğruluğunu artırmak ve yanlış pozitifleri azaltmak için hem imza tabanlı hem de anormallik tabanlı yöntemleri birleştirir.
Bir izinsiz girişin beş genel adımı tipik olarak keşif, tarama, erişim sağlama, erişimi sürdürme ve izleri kapatmayı içerir. Keşif sırasında saldırgan, hedef sistem hakkında bilgi toplar. Tarama, hedefteki güvenlik açıklarının araştırılmasını içerir. Erişim kazanmak, saldırganın sisteme girmek için belirlenen güvenlik açıklarından yararlandığı adımdır. Erişimin sürdürülmesi, tehlikeye atılan sistem üzerindeki kontrolü korumak için arka kapıların veya diğer yöntemlerin kurulmasını içerir. İzleri kapatmak, saldırganın tespit edilmekten kaçınmak için izinsiz girişin kanıtlarını silmeye çalıştığı son adımdır.
Üç tür saldırı tespit sistemi, ağ tabanlı saldırı tespit sistemleri (NIDS), ana bilgisayar tabanlı saldırı tespit sistemleri (HIDS) ve hibrit saldırı tespit sistemleridir. NIDS, ağ trafiğini şüpheli etkinliklere karşı izler ve genellikle ağ geçitleri veya kritik alt ağlar gibi ağ içindeki stratejik noktalara dağıtılır. HIDS, dosya erişimi, işlem etkinliği ve sistem günlükleri gibi sistem düzeyindeki etkinlikleri izlemek için ayrı ana bilgisayarlara veya cihazlara yüklenir. Hibrit izinsiz giriş tespit sistemleri, hem NIDS hem de HIDS’in özelliklerini birleştirerek hem ağ hem de ana bilgisayar ortamlarında kapsamlı izleme ve tespit yetenekleri sağlar.