• • ثبت تهدیدات موجود برای یک سازمان

سیستم های تشخیص نفوذ اطلاعات مفیدی درباره تهاجمات و نفوذهایی که واقع می­شوند، ارائه می­دهد و امکان عیب یابی، کشف، و تصحیح عامل­های کشف شونده را می­دهد.
هدف IDS را می توان به طور کلی به دو بخش تقسیم کرد:
حسابرسی: قابلیت ارتباط دادن یک واقعه به شخص مسئول آن واقعه( نیازمند مکانیزم­ های شناسایی و رد یابی است.)
پاسخگویی یا واکنش: قابلیت شناخت حمله و سپس انجام عملی برای مقابله یا توقف آن و پیشگیری از تکرار آن

شکل ۲-۹: معماری یک سیستم تشخیص نفوذ[۱]

۲-۴-۴ جمع آوری اطلاعات

شامل عملیات جمع آوری داده از یک منبع اطلاعاتی و تحویل آنها به پیش پردازنده و موتور تحلیل می باشد. برای جمع آوری اطلاعات در سیستم­های مبتنی بر شبکه از ترافیک شبکه، سیستم­های مبتنی بر میزبان از دنباله­های ممیزی سیستم­عامل و رویدادنامه­ها، و سیستم­های میتنی بر برنامه کاربردی از رویدادنامه­ها پایگاه داده و رویدادنامه­ها کارگزار وب استفاده­می­ شود[۱].

۲-۴-۵ تشخیص و تحلیل:

سازمان­ دهی اطلاعات و جستجوی علائم امنیتی در تشخیص مورد بررسی قرار می­گیرد در تشخیص سوء استفاده، علائم حمله و تشخیص ناهنجاری، رفتار غیرنرمال را مورد بررسی قرار می­گیرد[۱].

۲-۴-۶ تشخیص سوء استفاده^[۲۸]:

شناخت حملات موجود و تعریف الگوی حملات برای موتور تحلیل با جستجوی مجموعه ­ای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد، را انجام می­دهد. نیاز به بروزرسانی الگو­های حمله است. روش­های پیاده­سازی را با سیستم خبره، روش های مبتنی بر گذار حالات انجام می دهد. کاربرد آن در سیستم­های تجاریIDS است[۱].

۲-۴-۷ تشخیص ناهنجاری^[۲۹]:

به شناخت عملکرد نرمال سیستم وتهیه نمایه­های ی از رفتار نرمال سیستم برای موتور تحلیل می پردازد. در جستجوی فعالیت غیر نرمال است. روش­های پیاده­سازی شامل روش­های آماری و داده ­کاوی است و بیشتر جنبه تحقیقاتی و کاربردی دارد.

۲-۴-۸ مقایسه بین تشخیص سوء استفاده و تشخیص ناهنجاری:

• تشخیص سو استفاده:

در این روش تشخیص حملات در حد حملات شناخته شده و سریع و با خطای کمتری انجام می­گیرد.

• تشخیص ناهنجاری:

در این روش بیشتر تاکید روی تشخیص حملات ناشناخته است و از مشکلات این روش بالابودن درصد خطای مثبت غلط است.

۲-۴-۹ پیاده سازی سیستم­های تشخیص نفوذ:

۲-۴-۹-۱ روش های پیاده­سازی تشخیص سوءاستفاده:

• سیستم خبره:

مکانیزمی برای پردازش حقایق و مشتق کردن نتایج منطقی از این حقایق، با توجه به زنجیره­ای از قواعد است. در اینجا قواعد شامل الگو یا سناریوهای نفوذ و حقایق شامل وقایع رخداده در سیستم است.
از جمله مزیت­های این روش می­توان به ارائه حملات در قالب قواعد توسط کاربر بدون نیاز به دانستن نحوه عملکرد سیستم خبره و امکان اضافه کردن قواعد جدید بدون تغییر قواعد قبلی اشاره نمود.
معایب این روش شامل کارایی پایین، نامناسب بودن برای حجم زیاد داده ­ها و بیان ترتیب در قواعد می­باشد[۱].

• روش­های مبتنی بر گذار حالت

این روش توسط گراف مدل می­ شود و از مفهوم حالت سیستم و گذار تکنیک­های انطباق الگو استفاده­ می­ شود.
سرعت زیاد از ویژگی این روش است الگوی حمله از حالت امن اولیه به سمت حالت خطرناک نهایی با گذر از چندین حالت است.

۲-۴-۹-۲ روش پیاده­سازی تشخیص ناهنجاری

روش­های مبتنی بر کاربر: تولید نمایه از رفتار کاربران و مقایسه رفتار واقعی کاربران با نمایه­ها و یافتن رفتار­های غیر نرمال کاربران، برای پیاده سازی تشخیص ناهنجاری استفاده می­ کند.
روش­های پیاده­سازی تشخیص ناهنجاری مبتنی بر کاربر

• تحلیل کمی

بیان نمایه با معیار­های عددی تعداد مجاز ورود ناموفق برای کاربر A، n است.

• تحلیل آماری

بیان نمایه با معیار­های آماری ورودی ناموفق برای کاربر A، تابع توزیع نرمال a است., IDES NIDE ,Haystack از این دسته­اند.

• روش­های مبتنی بر قاعده