Os IDS podem ser classificados conforme ao modo de funcionamento, ao local de atuação e à forma de atuação, conforme veremos a seguir.
Quanto ao modo de funcionamento, podem ser:
| Detector de anomalias | Detector de mau uso | |
|---|---|---|
Utiliza alguma função estatística ou rede neural para definir um perfil de utilização normal da rede em uma etapa de aprendizado. Em seguida, analisa constantemente o padrão atual com o aprendido. Caso ocorra algum desvio acima de um limiar, considera que houve uma tentativa de intrusão. Essa técnica tem a vantagem de possibilitar a detecção de ataques desconhecidos, mas pode gerar falsos positivos e não é capaz de saber o ataque específico em ação. |
É o modo mais utilizado atualmente. Possui funcionamento parecido com o de um antivírus. Através de um conjunto de assinaturas previamente configuradas, o IDS monitora o ambiente em busca de eventos que coincidam com alguma assinatura. Possui baixo índice de falsos positivos caso as assinaturas sejam de boa qualidade. Não detectam ataques desconhecidos e dependem de atualização das assinaturas por parte do fabricante ou da comunidade. |