Le reti di informazione possono essere altamente suscettibili agli attacchi dannosi da vermi, virus e varie altre minacce di rete, con nuovi problemi regolari che spuntano su questi fronti.Tali attacchi possono paralizzare le reti, distruggere dati importanti e influenzare negativamente la produttività.Per evitare che ciò accada, sono impostati sistemi di rilevamento delle intrusioni (ID) per proteggere le reti di informazioni.

Un sistema di rilevamento delle intrusioni funge da salvaguardia che rileva gli attacchi prima o quando si verificano, avvisa l'amministrazione del sistema e quindi adotta le misure appropriate per disabilitare gli attacchi, ripristinando la rete alla sua normale capacità operativa.Un certo grado di supervisione e indagine umana è generalmente richiesto nei sistemi di rilevamento delle intrusioni, poiché gli ID non sono completamente infallibili.Un sistema di rilevamento delle intrusioni può, ad esempio, non riuscire a identificare alcune minacce di rete o, in caso di reti occupate, potrebbe non essere in grado di controllare tutto il traffico che passa attraverso la rete.

Nella sua operazione quotidiana, il sistema di rilevamento delle intrusioni monitora l'attività dell'utente e il traffico sulla rete e tiene d'occhio le configurazioni di sistema e i file di sistema.Se vengono rilevate anomalie o attacchi, il sistema di rilevamento delle intrusioni imposta immediatamente un allarme per portare la questione all'attenzione dell'amministratore del sistema.Il sistema può quindi procedere a gestire le minacce di rete o lasciare che l'amministratore decida il modo migliore per affrontare il problema.

Esistono tre tipi principali di sistemi di rilevamento delle intrusioni che insieme formano un sistema di prevenzione delle intrusioni.Il primo è il rilevamento delle intrusioni di rete, che mantiene una libreria di minacce di rete note.Il sistema controlla su Internet e aggiorna costantemente questa biblioteca;In questo modo il sistema viene tenuto informato sulle ultime minacce della rete ed è in grado di proteggere meglio la rete.Il traffico di passaggio viene monitorato e controllato con la libreria e se qualsiasi attacco noto o comportamento anormale corrisponde a quelli della libreria, il sistema si prepara per bloccarlo.

Il rilevamento dell'intrusione del nodo di rete è la seconda parte dell'intrusioneSistema di prevenzione.Controlla e analizza il traffico che passa dalla rete a un host specifico.La terza parte è il sistema di rilevamento delle intrusioni host, che controlla eventuali modifiche al sistema corrente;Se i file vengono modificati o eliminati, il sistema di rilevamento delle intrusioni host suona l'allarme.Può disabilitare direttamente l'attacco o impostare un nuovo ambiente di sicurezza migliorato.