Una proprietà di valore necessita di essere protetta da un possibile furto o danneggiamento. Alcune case sono equipaggiate con sistemi d'allarme capaci di dissuadere potenziali ladri, e anche in grado di notificare l'avvenuta rapina alle autorità competenti. Alcuni di questi sistemi, hanno anche la capacità di avvertire i residenti di un possibile principio d'incendio. Tali misure sono necessarie per assicurare l'integrità delle residenze e dei loro proprietari.
La stessa precauzione dovrebbe essere applicata anche su sistemi di elaborazione e dati. L'avvento di Internet ha facilitato il flusso delle informazioni, siano esse personali che finanziarie. Allo stesso tempo però, ha comportato un aumento dei pericoli. Utenti maliziosi, vanno alla ricerca di obiettivi sempre più vulnerabili come ad esempio i sistemi 'unpatched', reti che eseguono programmi non sicuri e sistemi infetti da virus del tipo trojan. Gli allarmi sono necessari per notificare agli amministratori e ai membri del team di sicurezza, che è in corso un tentativo di violazione del sistema. In questo modo essi possono rispondere alla minaccia in tempo reale. Intrusion detection systemsono stati concepiti come sistemi di allerta.
Un intrusion detection system (IDS) è un processo attivo o un dispositivo, capace di analizzare le attività di rete e del sistema riguardante una entry non autorizzata e/o attività maliziosa. Il modo con il quale un IDS rileva le anomalie può variare, tuttavia lo scopo principale di qualsiasi IDS, è quello di neutralizzare l'aggressore prima che egli possa recare danni alle vostre risorse.
Un IDS protegge il sistema da attacchi, usi inpropri e compromissioni. Tali sistemi sono in grado di monitorare l'attività di una rete, rivedere le configurazioni del sistema e della rete in caso di presenza di punti deboli, analizzare l'integrità dei dati, e molto altro. A seconda del metodo di rilevazione scelto, si possono ottenere dei benefici diretti o indiretti nell'uso di un IDS.
La comprensione di un IDS e le funzioni che esso è in grado di fornire, rappresentano il segreto per determinare l'implementazione di sicurezza più idonea del vostro computer. Questa sezione affronta i concetti inerenti i sistemi IDS, le loro funzionalità e la presenza di IDS ibridi che usano diverse tecniche e tool di rilevazione presenti in un solo pacchetto.
Alcuni sistemi IDS sono basati sulla conoscenza, tale caratteristica allerta gli amministratori responsabili della sicurezza del sistema, prima del verificarsi di una intrusione, usando un database di attacchi comuni. In alternativa ci sono IDS basati sul comportamento che seguono l'uso di tutte le risorse, vanno alla ricerca di anomalie, le quali possono celare la presenza di attività illecita. Alcuni IDS sono servizi autonomi o 'standalone', operano nel background e hanno un funzionamento passivo di ascolto delle attività, registrando qualsiasi pacchetto sospetto proveniente dall'esterno. Altri combinano dei tool tradizionali del sistema, configurazioni modificate, e registrazioni di tipo 'verbose', con l'esperienza e l'intuizione dell'amministratore, in modo tale da ottenere un kit di rilevazione potente ed efficace. La valutazione delle svariate tecniche di rilevazione d'intrusione, può facilitare la scelta di quella più idonea alla vostra organizzazione.
I tipi più comuni di IDS presenti nel campo della sicurezza, sono conosciuti come IDS host-based e network-based. Un IDS di tipo host-based risulta essere quello più completo, esso richiede l'implementazione di un sistema di rilevamento su ogni host individuale. Senza tener conto in quale ambiente risiede l'host, esso risulta essere protetto. Un IDS del tipo network-based invia i pacchetti attraverso un dispositivo singolo, prima di inviarli a host specifici. Gli IDS network-based vengono indicati come sistemi meno completi in quanto, molti host presenti in un ambiente mobile non rendono possibile il controllo e la protezione del pacchetto della rete.