• • • • 1. 1. روش تحلیل

         

         

     

     

دو رویکرد کلی جهت تحلیل ترافیک مشکوک در سیستم­های اطلاعاتی وجود دارد.
رویکرد مبتنی بر امضا^[۲۶]
این رویکرد به دنبال یافتن امضایی از حملات شناخته شده در بسته­های شبکه می­باشد امضای حملات باید به دقت و توسط افراد متخصص از حملات روی داده شده استخراج و در بانک داده مربوط به سیستم شناسایی ذخیره گردند. تکنیک­هایی که از این رویکرد استفاده می­ کنند، دارای نرخ تشخیص و سرعت بالایی بوده و در کاربردهای تجاری از آنها کمک می­گیرند. در عین حال با توجه به رشد انفجاری و ظهور انواع متفاوت حملات، به روز نگه داشتن پایگاه داده امضاها بسیار مشکل است. از این رو قادر به شناسایی حملات جدید نمی­باشند.
رویکرد مبتنی بر ناهنجاری^[۲۷]
این رویکرد در زمینه ­های تحقیقاتی بسیار مورد توجه است، یک مدل از ترافیک نرمال شبکه ایجاد می­ شود و در صورتی که ترافیک دریافتی تفاوت قابل ملاحظه ای با مدل نرمال داشت، آن را به عنوان ترافیک نا بهنجار و نشانه نفوذ، شناسایی می­ کنند. مزیت اصلی تکنیک های مبتنی بر این روش، قابلیت شناسایی حملات نوظهور می باشد. همچنین نیازی به استفاده از افراد خبره برای تولید مدل نرمال ندارد و این مدل به صورت اتوماتیک تولید می شود. علی رغم قابلیت تطبیق­پذیری روش­های مرتبط با این رویکرد، شناسایی رفتار نرمال بسیار چالش برانگیز است. در نتیجه، در شرایطی که رفتار نرمال به صورت صحیح مدل سازی نشود، این رویکرد دارای نرخ خطای قابل ملاحظه­ای می­باشد. به عنوان مثال، تغییرات ناگهانی پیش آمده در سیستم ممکن است به عنوان رفتار ناهنجار شناسایی شوند. از سویی دیگر ممکن است قادر به شناسایی حملات شناخته شده نباشد چرا که برمبنای مدل نرمال تعریف شده، رفتار متفاوتی از خود بروز نمی دهند.

• • • • 1. 1. نحوه نظارت^[۲۸]

         

         

     

     

سیستم شناسایی نفوذ، می ­تواند به شکل ایستا عمل کرده و به صورت دوره­ای از محیط، نمونه­های تکی^[۲۹] تهیه کرده و تحلیل خود را بر اساس آن انجام دهد. این سیستم، همچنین می تواند به صورت برخط^[۳۰] از محیط به صورت پیوسته^[۳۱] نمونه تهیه کند و به شکل پویا مورد استفاده قرار گیرد.

• • • • 1. 1. روش پاسخگویی^[۳۲]