1. Host system/Network snuffers: ทำหน้าที่เป็นตัวตรวจจับเหตุการณ์ต่างๆ ที่เกิดขึ้นใน host หรือเครือข่าย ข้อมูลจากส่วนนี้เป็นเหมือน Input ที่เข้าไปประมวลผลใน IDS
2. Pre-processing: จัดรูปแบบของ input ที่รับเข้ามาเพื่อให้นำไปประมวลผลได้สะดวกต่อไป
3. Statistical analysis: ส่วนวิเคราะห์ผลทางสถิติ
4. Signature matching: ส่วนวิเคราะห์จากพฤติกรรมที่มีแบบแผน แนวความคิดตรงนี้นำมาจากที่ว่า การบุก รุกมักจะมีรูปแบบที่ค่อนข้างแน่นอน ส่วนนี้จะทำงานได้ก็ต่อเมื่อมีข้อมูลมากพอที่จะวิเคราะห์ได้ว่าพฤติกรรมที่ปรากฏในระบบเป็นรูปแบบของการบุกรุกหรือไม่
5. Knowledge Base: เป็นตัวเก็บข้อมูลเกี่ยวกับพฤติกรรมของการบุกรุก ข้อมูลนี้ถูกใช้โดยส่วนของ Signature matching ข้อมูลส่วนนี้มีความสำคัญมากกับระบบ เป็นตัวตัดสินเลยว่าระบบฉลาดพอที่จะตรวจจับการบุกรุกได้หรือไม่
6. Alert Manager: ทำหน้าที่เป็นตัวตัดสินใจว่าจะเหตุการณ์ที่เกิดขึ้นในระบบควรจะต้องเตือนหรือไม่ ระบบจะมีความ Sensitive มากน้อยแค่ไหนอยู่ที่ตัวนี้ด้วย
7. User Interface: เป็นส่วนที่โต้ตอบกับผู้ใช้ อาจจะเป็นการแสดงผลที่หน้าจอ ส่งเสียงเตือนถึงการบุกรุก สั่งพิมพ์เป็น Hardcopy หรือแม้แต่เชื่อมกับ pager/โทรศัพท์ นอกจากนี้ user interface ยังเป็นส่วนโต้ตอบระหว่างผู้ใช้กับระบบเพื่อเปลี่ยนแปลงหรือ update ข้อมูลใน knowledge base
8. Response Manager: รับข้อมูลจาก alert manager เพื่อนำมาตัดสินใจว่าจะโต้ตอบกับการบุกรุกอย่างไร แหล่งข้อมูลที่จะป้อนให้กับ IDS แบ่งออกได้เป็นสองอย่าง คือจากโฮส และ จากเครือข่าย
   กลับสู่ด้านบน

1. ผู้บุกรุกพยายามโจมตีโดยใช้ Phf attack
2. ระบบตรวจจับการบุกรุก คัดลอกข้อมูลทุกๆ Packet ที่วิ่งอยู่บนเน็ตเวิร์ค
3. ระบบตรวจจับการบุกรุกประกอบ Packet ทุกๆ Packet เข้าด้วยกัน
4. ทำการเปรียบเทียบ Packet ที่ประกอบแล้ว ว่ามีลักษณะเป็นความพยายามในการบุกรุกหรือไม่
5. ทำการแจ้งเตือนหากพบว่าเป็นการบุกรุก
6. การแจ้งเตือนอาจกระทำได้หลายทางเช่นการแจ้งเตือน ผ่านจอภาพ ผ่านวิทยุติดตามตัว หรือผ่านอิเล็กทรอนิกส์เมล์
   กลับสู่ด้านบน

1. Host-Based IDS เป็นซอฟต์แวร์รันบนโฮส โดยปกติแล้ว IDS ประเภทนี้จะวิเคราะห์ล็อคเพื่อค้นหา ข้อมูลเกี่ยวกับการบุกรุก ในระบบยูนิกซ์นั้นล็อคที่ IDS จะตรวจสอบ เช่น Syslog, Messages, Last log, และWtmp เป็นต้น ส่วนในวินโดวส์นั้น IDS ก็จะตรวจสอบ Even Log ต่าง ๆ เช่น System, Application และSecurity เป็นต้น โดยปกติ IDS จะอ่านเหตุการณ์ใหม่ที่เกิดขึ้นในล็อคและเปรียบเทียบกับกฎที่ตั้งไว้ก่อนหน้า ถ้าตรงก็จะมีแจ้งเตือนทันที ดังนั้นการที่ IDS จะตรวจจับการบุกรุกได้ระบบจะต้องบันทึกเหตุการณ์ต่าง ๆ ที่สำคัญที่เกิดขึ้นกับระบบในล็อคไฟล์ ถ้าไม่เช่นนั้น IDS ก็ไม่มีข้อมูลที่จะวิเคราะห์ว่ามีการบุกรุกหรือไม่

1. สามารถตรวจพบทุกการบุกรุกกับโฮสนั้น ๆ ได้เสมอ ถ้าระบบสามารถบันทึกเหตุการณ์ดังกล่าวใน Log ได้ หรือการบุกรุกมีการเรียกใช้ System Call
2. สามารถบอกได้ว่าการบุกรุกนั้นสำเร็จหรือไม่ โดยการวิเคราะห์ข้อความใน Log หรือจากหลักฐานอื่น ๆ
3. สามารถระบุได้ว่ามีการเข้าใช้งานระบบอย่างผิดปกติโดยผู้ใช้ของระบบเอง

1. อาจถูกโจมตีเสียเองจนไม่สามารถแจ้งเตือนได้
2. จะแจ้งเตือนก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ อาจไม่แจ้งเตือนถ้าเป็นเทคนิคใหม่
3. การทำงานของ IDS อาจมีผลกระทบต่อประสิทธิภาพของโฮส เนื่องจากต้องตรวจสอบ Log File และ System Call

2. Network- Based IDS คือ ซอฟต์แวร์พิเศษที่รันบนคอมพิวเตอร์เครื่องหนึ่งต่างหาก IDS ประเภทนี้จะมี เน็ตเวิร์คการ์ดที่ทำงานในโหมดที่เรียกว่า “โพรมิสเซียส” ซึ่งในโหมดนี้เน็ตเวิร์คการ์ดจะส่งต่อทุก ๆ Packet ที่วิ่งอยู่บนเครือข่ายไปให้แอพพลิเคชั่น Process ในขณะที่เน็ตเวิร์คการ์ดที่รันในโหมดธรรมดานั้นจะรับเอาเฉพาะ Packet ที่มีที่อยู่ปลายทางตรงกับของเครื่องนั้นเท่านั้น เมื่อทุก ๆ Packet ส่งผ่านไปให้แอพพลิเคชั่น IDS จะวิเคราะห์ข้อมูลใน Packet เหล่านั้นกับกฎที่ตั้งไว้ก่อนหน้า ถ้าตรงกับกฎก็จะแจ้งเตือนทันที

1. ซ่อนอยู่ในเครือข่าย ทำให้ผู้บุกรุกไม่รู้ว่าถูกเฝ้ามองอยู่
2. สามารถตรวจจับการบุกรุกได้หลายระบบหรือหลายโฮส
3. สามารถตรวจจับทุก packet ที่วิ่งไปยังระบบที่ถูกเฝ้าระวังอยู่

1. จะแจ้งเตือนภัยก็ต่อเมื่อตรวจพบ Packet ที่ตรงกับ Signature ที่กำหนดไว้ก่อนหน้าเท่านั้น
2. อาจจะไม่สามารถตรวจจับ Packet ได้ทั้งหมด ในกรณีที่มีการใช้เครือข่ายอย่างหนาแน่น
3. ไม่สามารถสรุปได้ว่าการบุกรุกนั้นสำเร็จหรือไม่
4. ไม่สามารถตรวจสอบวิเคราะห์ Packet ที่ถูกเข้ารหัสไว้ได้
   กลับสู่ด้านบน

หนึ่ง Solution สถาปัตยกรรมตัวแทนหลายที่มาในปี 1994 เป็น AAFID (ตัวแทนปกครองตนเองสำหรับ Intrusion Detection) ดู จะใช้ตัวแทนที่จอภาพด้านหนึ่งของระบบการทำงานของพวกเขาอยู่ในเวลานั้น เช่นตัวแทนสามารถดูหมายเลขผิดปกติรอบ telnet ภายในระบบจะตรวจสอบ ตัวแทนมีกำลังออกเตือนเมื่อตรวจสอบเหตุการณ์ที่น่าสงสัย ตัวแทนสามารถโคลนและย้ายไปยังระบบอื่น ๆ (คุณลักษณะอิสระ) นอกเหนือจากตัวแทนระบบอาจมี transceivers เพื่อติดตามผลการดำเนินงานทั้งหมดโดยตัวแทนของโฮสที่กำหนด เสมอส่งผลการดำเนินงานเพื่อตรวจสอบเดียวไม่ซ้ำ จอภาพได้รับข้อมูลจากพื้นที่เครือข่ายที่ระบุ (ไม่เพียง แต่จากโฮสหนึ่ง) ซึ่งหมายความว่าจะสามารถเผยแพร่ข้อมูล

1. เป็นระบบการตรวจสอบโดยการใช้ Signature ของข้อมูลจึงเป็นที่มาของอีกชื่อหนึ่งนั่นคือ signature Based หรือ knowledge based detection
2. โดยปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วใน ระบบฐานข้อมูล โดยการเซตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ Misuse นี้จะตรวจจับไม่ได้
3. ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการ เปรียบเทียบ Signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่าเหมือนกับในฐานข้อมูลก็แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ร้ายนั่นเอง ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็นวิธีใหม่ๆ

1. การทำงานของระบบนี้จะเป็นการตรวจสอบ Pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูล ที่วิ่งอยู่ในระบบเพื่อเรียนรู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ด้วยตัวเอง เหมือนดังเช่นกับระบบ Spam filter
2. โดยปกติแล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแลอาจจะกำหนดเส้นแบ่งว่า พฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจารณาจาก Traffic, พฤติกรรม, protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบนั่นเอง
3. เนื่องจากระบบ Anomaly Based นั้นสามารถที่จะเรียนรู้ได้ด้วยตนเอง ดังนั้นระบบดังกล่าวนี้ก็จะ สามารถเรียนรู้วิธีหรือพฤติกรรมใหม่ๆ ที่ใช้ในการโจมตีระบบได้นั่นเองแต่ก็อาจจะทำงานผิดพลาดได้นั่นหมายถึงไม่มีการส่งสัญญาณเตือนเมื่อมีการโจมตีเพราะเข้าใจว่าเป็นพฤติกรรมที่ปกติในระบบเครือข่าย
   กลับสู่ด้านบน

1. IP Scans ไอพีสแกนโทรจันนั้นเป็นความพยายามของผู้บุกรุกที่จะตรวจเช็คว่ามีพอร์ตของโทรจันใดบ้าง ที่เปิดอยู่
2. Port Scans หลังจากที่ผู้บุกรุกพอได้ข้อมูลเกี่ยวกับว่าเครือข่ายมี Host ใดอยู่บ้าง ข้อมูลต่อมาที่ผู้บุกรุก ต้องการคือ บริการใดบ้างที่แต่ละ Hostให้บริการอยู่ ซึงหมายเลขพอร์ตนั้นจะเป็นสิ่งที่บ่งบอกว่ามี Applicationใดบ้างที่ให้บริการอยู่
3. Trojan Scans การสแกนโทรจันนั้นเป็นความพยายามของผู้บุกรุกที่จะตรวจเช็คว่ามีพอร์ตของโทรจัน ใดบ้างที่เปิดอยู่
4. Vulnerability Scans การสแกนหาจุดอ่อนของระบบ เป็นความพยายามที่จะใช้การโจมตีหลาย ๆ แบบ กับระบบใดระบบหนึ่งเพื่อตรวจเช็คดูระบบนี้ว่ามีจุดอ่อนอย่างไร
5. File Snooping เป็นการตรวจเช็คว่า User ว่ามีสิทธิ์อย่างไรกับไฟล์นั้น ซึ่งระบบไฟล์ส่วนใหญ่จะมีการกำหนดสิทธิ์ของผู้ใช้ในการเข้าใช้แต่ละไฟล์

1. ความง่ายในการติดตั้งและใช้งาน
2. ระดับความต้องการในการดูแลรักษาระบบ
3. ความสามารถในการวิเคราะห์การบุกรุกรูปแบบต่างๆ
4. ความเร็วในการตอบสนองต่อการบุกรุกและรายละเอียดของรายงาน
5. การบริการหลังการขายของผู้ผลิต
6. ราคา

1. การรวบรวมข้อมูลของเหยื่อ : มักเป็นขั้นตอนต้นของการบุกรุกซึ่งผู้บุกรุกจะรวบรวมข้อมูลต่างๆ ของเหยื่อเพื่อหาจุดอ่อนในการโจมตีตัวอย่างข้อมูลที่เป็นประโยชน์เช่น host name, IP address, OS, network configuration, และ services เป็นต้น ซึ่งปัจจุบันมี ซอฟต์แวร์ที่ช่วยอำนวยความสะดวกในการหาข้อมูลโดยผ่านทางอินเทอร์เน็ตมากมายอาทิเช่น ซอฟต์แวร์จำพวก PING sweep, port scan, account scans, และ DNS zone transferซึ่งซอฟต์แวร์จำพวกนี้มีจำหน่ายหรือจ่ายแจกอยู่ทั่วไป กล่าวพอสังเขปดังนี้ STROBE, NETSCAN, SATAN, NMAP, NESSUS
2. การพยายามเข้าสู่ระบบ: เมื่อได้ข้อมูลที่เพียงพอ ผู้บุกรุกก็จะพยายามเข้าสู่ระบบโดยอาศัยช่องโหว่ต่างๆ ที่ตรวจพบ ไม่ว่าจะเป็นช่องโหว่ที่เกิดจากฮาร์ดแวร์หรือซอฟต์แวร์ก็ดี แต่ช่องโหว่ที่มักตรวจพบบ่อยๆเกิดขึ้นจาก ซอฟต์แวร์ ไม่ว่าจะเป็น การเขียนโปรแกรมที่ผิดพลาด การติดตั้งที่ไม่ถูกต้อง หรืออาศัยโปรแกรมประเภท ม้าโทรจัน (Trojan horse) ในการเข้าสู่ระบบเป็นต้น
3. การรบกวนขัดขวางการทำงานของเครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่าย: เป็นอีกลักษณะหนึ่งของการบุกรุกที่กระทำได้ค่อนข้างง่ายโดยมุ่งเน้นในการรบกวนขัดขวางต่อการทำงานของคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ทำให้เครื่องคอมพิวเตอร์หรือเครือข่ายคอมพิวเตอร์ไม่สามารถให้บริการได้ตัวอย่างการโจมตีชนิดนี้เช่น Syn flood, a PING of Death, a Land Attack, a teardrop attack, ICMP Flood หรือแม้แต่โปรแกรมประเภท Virus หรือ Worm ที่มีอยู่และแพร่หลากหลายบนอินเทอร์เน็ต
4. การล่อลวงให้เกิดความสับสน: ในบางครั้ง ผู้บุกรุกอาจอาศัยหลายๆวิธีในการโจมตีต่อเหยื่อเพื่อให้เกิดความสับสนและล่อให้เหยื่อเปิดช่องว่างสำหรับผู้บุกรุกที่จะสามารถในการลักลอบเข้าสู่ระบบได้

1. การปรับแต่ง Firewall ใหม่ เพื่อป้องกัน IP address ของผู้บุกรุก แต่ยังไงก็แล้วแต่ผู้บุกรุกอาจจะโจมตีมาจาก IP address อื่น
2. การเตือนด้วยเสียง
3. NT event ส่งเหตุการณ์ที่เกิดขึ้นไปยัง WinNT Event log
4. Syslog ส่งเหตุการณ์ไปยังระบบ log ของ UNIX
5. ส่ง E-mail ไปยัง admin
6. Page โดยส่ง program paper ไปยังผู้ดูแลระบบ
7. ทำการบันทึกการโจมตี ควรบันทึกข้อมูลจากการโจมตี เช่น เวลา, IP address ของผู้บุกรุก, IP address และ Port ของเหยื่อ, ข้อมูลเกี่ยวกับโปรโตคอล
8. รวบรวมหลักฐาน โดยทำการรวบรวมข้อมูลของ packet เพื่อประโยชน์ในการวิเคราะห์ในการวิเคราะห์ภายหลัง
   กลับสู่ด้านบน

1. มอนิเตอร์และวิเคราะห์เหตุการณ์ที่เกิดขึ้นในระบบ และพฤติกรรมของผู้ใช้
2. ทดสอบระดับความปลอดภัยของระบบ
3. บอกถึงระดับมาตรฐานความปลอดภัยของระบบ
4. เรียนรู้ลำดับเหตุการณ์ของระบบที่เกิดจากการโจมตีที่รู้ล่วงหน้า
5. เรียนรู้ลำดับเหตุการณ์ของระบบที่แตกต่างจากเหตุการณ์ปกติ
6. จัดการข้อมูลเกี่ยวกับ Even log และ Audit Log ของ OS
7. รายงานข้อมูลที่เกี่ยวกับนโยบายการรักษาความปลอดภัยพื้นฐาน อนุญาตให้ผู้ที่ไม่มีความชำนาญทางด้านการรักษาความปลอดภัยสามารถมอนิเตอร์ความปลอดภัยได้

1. ไม่สามารถปิดช่องโหว่หรือจุดอ่อนของระบบที่ไม่ได้ป้องกันโดยระบบรักษาความปลอดภัยอื่น เช่น Firewall เป็นต้น
2. ไม่สามารถตรวจจับ รายงานและตอบโต้การโจมตีได้ในช่วงเวลาที่มีการใช้เครือข่ายอย่างหนาแน่น
3. ไม่สามารถตรวจจับการโจมตีแบบใหม่ได้
4. ไม่สามารถตอบโต้การโจมตีได้อย่างมีประสิทธิภาพต่อผู้บุกรุกที่มีความชำนาญสูง
5. ไม่สามารถสืบหาผู้บุกรุกได้โดยอัตโนมัติ
6. ไม่สามารถขัดขวางไม่ให้โจมตี IDS เอง
7. ไม่สามารถป้องกันปัญหาเกี่ยวกับความถูกต้องของแหล่งข้อมูล
8. ไม่สามารถทำงานได้ดีในระบบเครือข่ายที่ใช้ Switch
   กลับสู่ด้านบน

1. มีการจัดระบบก่อนการติดตั้งหรือไม่ (Pre-configuration Requirement)
2. ทำการติดตั้งตามขั้นตอนที่ผู้ผลิตแนะนำ
3. มีระบบอัตโนมัติช่วยในการติดตั้งหรือไม่ (Wizard)
4. เวลาที่ต้องใช้ในการติดตั้ง
5. ระดับความชำนาญที่ต้องใช้
6. ความต้องการทางด้านฮาร์ดแวร์

1. ผ่านวิทยุติดตามตัว
2. ผ่านอิเล็กทรอนิกส์เมล์
3. ผ่านจอแสดงผล