الف) سیستم تشخیص نفوذ مبتنی بر میزبان (H_IDS): این نوع IDS موظف است Logfile های موجود در سیستم را بررسی کرده (البته در سیستم‌عامل‌های مختلف، Logfile های متفاوتی وجود دارد) تا اطلاعاتی را که مشخص‌کننده نوعی فعالیت غیرعادی می‌باشد یافته و پردازش نماید و با توجه به تنظیماتی که انجام شده است و عدم تطابق بین سیاست­های مدنظر به مدیر سیستم هشدار دهد.IDS های جدیدتر در یک حوزه توانایی این را داشته که سیستم‌های تحت حمایت خود را حتی از لحاظ دستکاری نیز کنترل نماید.

این روش دارای مزایایی می‌باشد که شامل:

  • -1 تا مادامی كه مهاجم در حال انجام فعالیت است پیغام‌هایی تولید می‌کند و ترافیك حمل‌های كه به سیستم شده است را گم نخواهد كرد.
  • 2-این IDS ها با بررسی پیام‌های تولیدشده و نشانه‌های دیگر موجود در سیستم می‌توانند موفقیت و یا عدم

موفقیت حمله را تشخیص دهند، همچنین این سیستم دارای معایبی مانند؛

  • -1 در این IDS ها مهاجم توانمند می‌تواند مجموعه كارها و فرآیندهای IDS را شناسایی كرده و آنها را غیرفعال نماید.
  • 2- این نوع IDS ها فقط در مواردی اعلام خطر می‌کنند كه محتویات logfile ها با قوانین امنیتی مطابقت داشته باشد (ملکیان،1385: 19)

ب) سیستم تشخیص نفوذ مبتنی بر شبکه (N_IDS): به صورت فرآیند نرم‌افزاری است كه باید بر روی سخت‌افزار به خصوصی نصب و راه‌اندازی شود. این نوع IDS ها كارت شبكه را كه روی این سیستم‌ها نصب می‌شود به حالت بی‌قید و شرط برده و تمامی ترافیك شبكه را به سمت N_IDS عبور می‌دهد بدون توجه به اینكه این اطلاعات برای این سیستم ارسال شده است یا خیر پس از پردازش اطلاعات مورد نظر و مقایسه‌ی آنها با قواعد و قوانین موجود در صورت كشف حمله یك (رخداد[1]) ایجاد و ثبت می‌گردد.

معمول‌ترین روش پیكربندی N_IDS استفاده از دو كارت شبكه است یكی از این کارت‌ها جهت مشاهده و كنترل شبكه به كار می رود به شكلی كه این كارت آدرس IP ندارد. به همین دلیل اطلاعات ارسال‌شده ورودی پاسخ نمی‌دهد. كارت دوم به منظور ارتباط با مدیر سیستم و ارسال اخطارهای امنیتی به كار گرفته می‌شود.

این سیستم نیز دارای مزایایی به شرح زیر می‌باشد:

-1 این نوع IDS را می‌توان به طور كامل در شبكه مشخص نمود به طوری كه مهاجم متوجه نخواهد شد كه تحت كنترل است.

-2 با این نوع IDS ها می‌توان نظارت و كنترل ترافیك تعداد زیادی از سیستم‌ها را انجام داد.

همچنین دارای معایبی هم چون:

-1 فقط زمانی اعلام خطر می‌کند كه اعمالی خلاف قوانین و مقررات امنیتی انجام شده باشد.

2- به دلیل نوع انجام فعالیت‌ها در این IDS نیاز به پهنای باند بالایی دارد بنابراین ممكن است بخشی از ترافیك از بین برود.

3- قادر به بررسی ترافیك رمز شده نمی‌باشد و همچنین توانایی اعلام موفقیت حملات را ندارد (کلارک[2]،2002: 23)

ج) سیستم تشخیص نفوذ توزیع‌شده: این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده است. بدین صورت که هر IDS که در شبکه موجود است گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه‌سازی مسئول امنیتی سیستم را بر عهده دارد. این ایستگاه مرکزی همچنین وظیفه به‌روزرسانی پایگاه قوانین تشخیص هر یک از IDS های موجود در شبکه را بر عهده دارد (ملکیان،1385: 20)

تشخیص اینکه کدامیک از IDS ها بهتر است، کار راحتی نمی‌باشد، ولی معمولا N_IDS ها مقرون به صرفه‌ترند. چرا كه ترافیك تعداد زیادی از كامپیوترها را می‌توان به كمك آنها كنترل نمود؛ اما در سازمان‌هایی كه نگرانی در مورد كاربران داخلی مجاز بیشتر از مهاجمان خارجی است H_IDS مناسب تر است.

[1] – Event

[2] Clark