Wykrywanie włamań dotyczy zauważania nieautoryzowanych prób dostępu do sieci komputerowej lub fizycznego systemu komputerowego.Jego celem jest wykrycie wszelkich zagrożeń, które mogłyby umożliwić dostęp do nieautoryzowanych informacji, negatywnie wpłyną na integralność danych lub spowodować utratę dostępu w sieci.Zazwyczaj jest to wdrażane za pomocą systemu wykrywania włamań (IDS), który wykrywa, rejestruje i rejestruje różne informacje o innych łączących się z siecią lub uzyskującym dostęp do fizycznego hosta.Systemy te mogą obejmować rozwiązania oprogramowania, które po prostu rejestrują informacje o ruchu, po systemy fizyczne, które obejmują ochroniarzy, kamery i czujniki ruchu.

Istnieją trzy podstawowe typy wykrywania włamań, w tym metody oparte na sieci, oparte na hostach i fizyczne.Metody sieciowe starają się oznaczać podejrzany ruch sieciowy i zwykle korzystać z programów, które rejestrują ruch i pakiety przepływające przez sieć.Metody oparte na hostach szukają możliwych ingerencji w fizyczny system komputerowy i sprawdź integralność plików, identyfikuj korzeniowe, monitoruj lokalne zasady bezpieczeństwa i analizuj dzienniki.Metody fizyczne dotyczą również identyfikacji problemów bezpieczeństwa na urządzeniach fizycznych i stosowanie kontroli fizycznych, takich jak ludzie, kamery bezpieczeństwa, zapory ogniowe i czujniki ruchu.W wielu firmach z poufnymi danymi i systemami krytycznymi kombinacja tych metod jest pożądana dla najlepszego możliwego bezpieczeństwa.

Systemy wykrywania włamań zwykle nie zapobiegają wtargnięciom;Zamiast tego po prostu rejestrują zdarzenia, które występują, aby inni mogli gromadzić się i analizować informacje.Chociaż jest to szczególnie prawdziwe w przypadku metod wykrywania wtargnięcia opartych na sieci i hosta, może to nie dotyczyć niektórych metod fizycznych, takich jak zapory ogniowe i personel ochrony.Zapory ogniowe często zapewniają możliwość blokowania podejrzanego ruchu i mogą dowiedzieć się, co jest i nie są dozwolone.Personel bezpieczeństwa może również uniemożliwić fizyczne włamanie się do firmy lub centrum danych, a monitorowane pułapki i systemy kontroli dostępu to inne fizyczne metody, które mogą uniemożliwić komuś włamanie się.System zapobiegania (IPS) do podjęcia działań w przypadku podejrzanej aktywności.Wiele z tych systemów obejmuje funkcje systemu wykrywania wtargnięcia i zapewnia bardziej wszechstronny system bezpieczeństwa, który jest pomocny przy reagowaniu na naruszenia bezpieczeństwa.Gdy IPS wykrywa podejrzane naruszenia ruchu lub polityki, podejmuje działanie skonfigurowane w swoich zasadach.Pracownicy bezpieczeństwa informacji lub administratorzy systemu zwykle konfigurują zasady, których IPS używa do odpowiedzi na każde zdarzenie.