IPSها چگونه فعالیت‌های مخرب را شناسایی می‌کنند؟

عموما سیستم‌های تشخیص نفوذ از سه روش به منظور شناسایی فعالیت‌های مخرب استفاده می‌کنند:

۱– روش شناسایی با استفاده از امضا: در این روش سیستم‌های تشخیص نفوذ (IDS) ترافیک ورودی و خروجی شبکه را با الگوهای پیش از پیکربندی و پیش از حمله که به عنوان امضا شناخته می‌شود مقایسه می‌کنند.

۲– شناسایی مبتنی بر آنومالی آماری: سیستم تشخیص نفوذ مبتنی بر آنومالی آماری، فعالیت شبکه نرمال را مشخص می‌کند. مثلاً به طور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفته است، چه پروتکل‌هایی استفاده شده است یا کدام پورت‌ها و وسایلی به طور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به مدیر شبکه هشدار می دهد.

۳– آنالیز پروتکل‌های مبتنی بر حالت: این روش، انحراف حالت پروتکل‌ها را مشخص می‌کند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایل‌های از پیش تعیین شده‌ای که مطابق با تعریف مورد قبول هستند، انجام می‌شود.