Os IDSs se subdividem em três tipos principais, que atuam em diferentes setores, tem diferentes benefícios e devem ser combinados afim de se obter maior segurança, são eles:

HIDS - Host-Based Intrusion Detection System

Os IDSs desta família são aplicações que observam hosts através de logs, com integração do syslog em alguns casos. Também utilizam agentes de auditoria, disponíveis nos SOs modernos e estes são como inspetores previamente programados para gravar determinadas ações de interesse. Estes softwares também podem monitorar alterações em arquivos de relevância no sistema, processos em execução, uso de cpu e outros componentes, alterações nos privilégios de usuários, etc. Uma gama deles mantém bancos de hashs calculados em cima de arquivos no sistemas, periodicamente atualizados afim de obter informações sobre a integridade dos mesmos.

A metodologia dos HIDSs faz com que seu uso demande recursos, além de não ser escalável, e devido a esses fatores é comum que eles só sejam utilizados nos principais hosts das instituições.

Vantagens:

• Gera poucos falsos positivos
• Pode verificar se o ataque obteve êxito
• Protege contra usuários maliciosos no host
• Não é afetado por switches
• Consegue analisar pacotes encriptados

Desvantagens:

• Prejudica o desempenho da estação
• Podem ser desligados por alguns ataques de negação de serviço
• É pouco escalável

NIDS - Network-Based Intrusion Detection System

Diferentemente dos HIDSs estes utilizam um hardware dedicado a detecção e atuam no segmento da rede. Estes sistemas utilizam sensores distribuídos na rede e um gerenciador.

Os sensores atuam em modo furtivo, também chamado de promíscuo, eles não possuem endereço IP e buscam detectar assinaturas no: tráfego, conteúdo e cabeçalho dos pacotes em circulação naquele segmento.

Os NIDSs podem responder a tráfego suspeito em tempo real, pode armazenar os pacotes do atacante, finalizar a conexão, quando realizam ação em cima da ocorrência são chamados de NIPSs.

É habitual que se coloque sensores deste tipo antes e depois do firewall para se analisar quais tentativas de ataque transpassaram o mesmo, todavia também pode ser necessário utilizar em mais pontos da rede para garantir uma melhor segurança interna.

Alguns problemas podem ocorrer pela baixa capacidade computacional dos sensores, em redes congestionadas estes tem dificuldade em analisar todos os pacotes, o que pode ocasionar perda de informação, também é comum que pacotes fragmentados levem a instabilidades no sistema.

Vantagens:

• Não prejudica o desempenho da rede
• Pode ser transparente ao invasor, de modo que ele não saiba que está sendo monitorado
• É capaz de detectar uma fatia grande de ataques, como port scanning, IP spoofing, SYN flooding, etc.

Desvantagens:

• Em redes congestionadas pode levar a perda de pacotes
• Não conseguem analisar informações de pacotes quando esta está cifrada.
• Dificuldades de uso em redes com switches
• Não são tão efetivos em Slow scans, Ataques coordenados, Ataques por meio de portas incomuns, etc

Hybrid IDS - Hybrid Intrusion Detection System

É perceptível que tanto os NIDSs quanto os HIDSs atuam de modo diferente, detectam ataques distintos e não interferem um no outro, logo seria uma boa tática empregar ambos para garantir a máxima segurança. Todavia com a evolução tecnológica, um novo modelo foi proposto: os IDSs híbridos, que tentam obter o melhor dos dois mundos. Eles atuam de modo semelhante ao HIDSs, devem ser instalados nas estações de interesse, e analisam o tráfego de rede direcionado apenas ao host em que foi instalado, através de um equipamento específico.

Tal método garante uma maior segurança em comparação ao HIDS nos hosts, não é afetado pelo uso de switches, como nos NIDSs, entretanto mantêm o problema de escalabilidade dos HIDSs.