Intrusion Detection befasst sich mit den bemerkenswerten Versuchen, auf ein Computernetzwerk oder ein physisches Computersystem zuzugreifen.Ziel ist es, Bedrohungen zu erkennen, die den Zugriff auf nicht autorisierte Informationen ermöglichen, die Datenintegrität negativ beeinflussen oder zu einem Zugriffsverlust innerhalb eines Netzwerks führen können.Es wird normalerweise durch die Verwendung eines Intrusion Detection System (IDS) implementiert, das verschiedene Informationen über andere, die mit dem Netzwerk verbunden sind, oder auf einen physischen Host zugreifen, aufgezeichnet und protokolliert.Diese Systeme können von Softwarelösungen reichen, die Verkehrsinformationen einfach in physischen Systemen protokollieren, an denen Sicherheitskräfte, Kameras und Bewegungssensoren beteiligt sind.

Es gibt drei primäre Arten der Intrusion-Erkennung, einschließlich netzwerkbasierter, hostbasierter und physischer Methoden.Netzwerkbasierte Methoden versuchen, verdächtigen Netzwerkverkehr zu markieren und in der Regel Programme zu verwenden, die den Verkehr und die Pakete aufzeichnen, die durch ein Netzwerk fließen.Hostbasierte Methoden suchen nach möglichen Eindringlingen in einem physischen Computersystem und prüfen nach Dateiintegrität, identifizieren RootKits, überwachen lokale Sicherheitsrichtlinien und analysieren Protokolle.Physische Methoden befassen sich auch mit der Identifizierung von Sicherheitsproblemen auf physischen Geräten und verwenden physische Kontrollen wie Personen, Überwachungskameras, Firewalls und Bewegungssensoren.In vielen Unternehmen mit vertraulichen Daten und kritischen Systemen ist eine Kombination dieser Methoden für die bestmögliche Sicherheit wünschenswert.Stattdessen protokollieren sie einfach Ereignisse, die auftreten, damit andere die Informationen sammeln und analysieren können.Obwohl dies insbesondere für netzwerkbasierte und hostbasierte Intrusion-Erkennungsmethoden gilt, gilt dies möglicherweise nicht für einige physikalische Methoden wie Firewalls und Sicherheitspersonal.Firewalls bieten häufig die Möglichkeit, verdächtigen Verkehr zu blockieren und zu lernen, was ist und nicht zugelassen ist und ist nicht zugelassen.Sicherheitspersonal kann auch verhindern, dass Menschen physisch in ein Unternehmen oder ein Rechenzentrum einbrechen, und überwachte Fallen und Zugangskontrollsysteme sind andere physikalische Methoden, die verhindern können, dass jemand einbrichtPräventionssystem (IPS), um Maßnahmen zu ergreifen, wenn verdächtige Aktivitäten auftreten.Viele dieser Systeme umfassen die Funktionen eines Intrusionserkennungssystems und bieten ein umfassenderes Sicherheitssystem, das bei der Reaktion auf Sicherheitsverletzungen hilfreich ist, ist von entscheidender Bedeutung.Wenn das IPS verdächtige Verkehrs- oder Richtlinienverstöße erkennt, ergriffen die in ihren Richtlinien konfigurierten Aktionen.Mitarbeitersicherheitspersonal oder Systemadministratoren konfigurieren normalerweise die Richtlinien, mit denen die IPs auf jedes Ereignis reagieren.