Les réseaux d'information peuvent être très sensibles aux attaques malveillantes des vers, des virus et diverses autres menaces de réseau, les nouveaux problèmes réguliers surgissant sur ces fronts.Ces attaques peuvent paralyser les réseaux, détruire les données importantes et affecter négativement la productivité.Pour éviter que cela ne se produise, les systèmes de détection d'intrusion (IDS) sont configurés pour protéger les réseaux d'informations.

Un système de détection d'intrusion agit comme une sauvegarde qui détecte les attaques avant ou au fur et à mesure qu'ils se produisent, alerte l'administration du système, puis prend les mesures appropriées pour désactiver les attaques, restaurant le réseau à sa capacité de travail normale.Un certain degré de supervision et d'investigation humaines est généralement nécessaire dans les systèmes de détection d'intrusion, car les ID ne sont pas complètement infaillibles.Un système de détection d'intrusion peut, par exemple, ne pas identifier certaines menaces de réseau ou, en cas de réseaux occupés, peut ne pas être en mesure de vérifier tout le trafic qui passe par le réseau.

Dans son fonctionnement quotidien, le système de détection d'intrusion surveille l'activité et le trafic utilisateur sur le réseau, et continue de surveiller les configurations du système et les fichiers système.Si des anomalies ou des attaques sont détectées, le système de détection d'intrusion met immédiatement une alarme pour porter l'affaire à l'attention de l'administrateur du système.Le système peut ensuite faire face aux menaces du réseau ou permettre à l'administrateur de décider de la meilleure façon de s'attaquer au problème.

Il existe trois principaux types de systèmes de détection d'intrusion qui forment ensemble un système de prévention des intrusions.Le premier est la détection d'intrusion du réseau, qui maintient une bibliothèque de menaces de réseau connues.Le système vérifie sur Internet et met constamment à jour cette bibliothèque;De cette façon, le système est tenu informé des dernières menaces de réseau et est en mesure de mieux protéger le réseau.Le trafic qui passe est surveillé et vérifié avec la bibliothèque, et si une attaque connue ou un comportement anormal correspond à ceux de la bibliothèque, le système se prépare pour le bloquer.

La détection d'intrusion du nœud de réseau est la deuxième partie de l'intrusionSystème de prévention.Il vérifie et analyse le trafic qui passe du réseau à un hôte spécifique.La troisième partie est le système de détection d'intrusion de l'hôte, qui vérifie toute modification du système actuel;Si des fichiers sont modifiés ou supprimés, le système de détection d'intrusion de l'hôte sonne l'alarme.Il peut soit désactiver directement l'attaque ou configurer un nouvel environnement de sécurité amélioré.