An ninh của hệ thống máy tính và thông tin của chúng tôi luôn có nguy cơ bị đe dọa. Sự phát triển rộng rãi của web và khả năng tiếp cận ngày càng tăng của các công cụ và thủ thuật để xâm nhập và tấn công mạng đã thúc đẩy việc phát hiện xâm nhập trở thành một yếu tố quan trọng của quản trị mạng. Sự xâm nhập có thể được biểu thị dưới dạng bất kỳ tập hợp sự kiện nào đe dọa tính toàn vẹn, tính bảo mật hoặc tính khả dụng của tài nguyên mạng (bao gồm tài khoản người dùng, hệ thống tệp, hạt nhân hệ thống, v.v.).
Một số hệ thống phát hiện xâm nhập thương mại đang hạn chế và không hỗ trợ toàn bộ giải pháp. Các hệ thống như vậy thường sử dụng các phương pháp phát hiện lạm dụng. Phát hiện lạm dụng tìm kiếm các thiết kế của chương trình hoặc hành vi người dùng kết nối các tình huống xâm nhập đã biết, được lưu dưới dạng chữ ký.
Các chữ ký viết tay này được hỗ trợ bởi các chuyên gia con người dựa trên kiến thức sâu rộng của họ về các phương pháp xâm nhập. Nếu một mẫu trùng khớp được phát hiện, điều này báo hiệu một sự kiện mà cảnh báo được tạo ra. Các nhà phân tích an ninh con người tính toán các cảnh báo để xác định hành động cần thực hiện, liệu hành động đó có đang tắt một phần hệ thống, cảnh báo cho nhà cung cấp dịch vụ web liên quan về lưu lượng truy cập đáng ngờ hay dễ dàng ghi nhận lưu lượng truy cập bất thường để tham khảo trong tương lai.
Hệ thống phát hiện xâm nhập cho một mạng phức tạp khổng lồ nói chung có thể thực hiện hàng nghìn hoặc hàng triệu cảnh báo mỗi ngày, xác định một dịch vụ áp đảo cho các nhà phân tích bảo mật. Bởi vì hệ thống không tĩnh, chữ ký được yêu cầu phải được nâng cấp bất cứ khi nào các phiên bản phần mềm mới xuất hiện hoặc các thay đổi trong cấu hình mạng xuất hiện. Hạn chế là việc phát hiện lạm dụng chỉ có thể xác định các trường hợp kết nối các chữ ký. Đặc biệt là nó không thể phát hiện các cách tiếp cận xâm nhập mới hoặc chưa biết trước đây.
Các hành vi xâm nhập mới lạ có thể được phát hiện bằng các phương pháp phát hiện bất thường. Tính năng phát hiện bất thường xây dựng các mô hình về hành vi mạng bình thường (được gọi là cấu hình), có thể phát hiện các mẫu mới sai lệch đáng kể so với cấu hình. Những sai lệch như vậy có thể xác định các hành vi xâm nhập thực tế hoặc đơn giản là các hành vi mới được yêu cầu thêm vào hồ sơ.
Lợi ích của tính năng phát hiện bất thường là nó có thể phát hiện các hành vi xâm nhập mới chưa được quan sát thấy. Nói chung, một nhà phân tích con người nên sắp xếp thông qua các độ lệch để xác định chắc chắn cái nào xác định các cuộc xâm nhập thực sự. Một yếu tố xác định sự bất thường Lợi ích của việc phát hiện sự bất thường là nó có thể phát hiện ra những hành vi xâm nhập mới chưa được quan sát thấy. Nói chung, một nhà phân tích con người nên sắp xếp thông qua các độ lệch để xác định chắc chắn cái nào xác định các cuộc xâm nhập thực sự. Một yếu tố xác định của việc phát hiện bất thường là tỷ lệ dương tính giả cao. Có những kiểu xâm nhập mới có thể được chèn vào tập hợp các chữ ký để phát hiện lạm dụng.