ระบบตรวจจับการบุกรุก ( IDS ) คืออุปกรณ์หรือ แอปพลิ เคชันซอฟต์แวร์ที่ตรวจสอบเครือข่ายหรือระบบเพื่อหาการกระทำที่เป็นอันตรายหรือการละเมิดนโยบาย^{[ 1 ]}โดยทั่วไปแล้ว การกระทำที่เป็นการบุกรุกหรือการละเมิดใดๆ จะถูกรายงานไปยังผู้ดูแลระบบหรือรวบรวมไว้ที่ส่วนกลางโดยใช้ ระบบ การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM)ระบบ SIEM จะรวมเอาผลลัพธ์จากหลายแหล่งและใช้ เทคนิค การกรองสัญญาณเตือนเพื่อแยกแยะการกระทำที่เป็นอันตรายออกจากสัญญาณเตือนที่ผิดพลาด^{[ 2 ]}

ประเภทของ IDS มีขอบเขตตั้งแต่คอมพิวเตอร์เครื่องเดียวไปจนถึงเครือข่ายขนาดใหญ่^{[ 3 ] [ 4 ]}การจำแนกประเภทที่พบบ่อยที่สุดคือระบบตรวจจับการบุกรุกเครือข่าย ( NIDS ) และระบบตรวจจับการบุกรุกบนโฮสต์ ( HIDS ) ระบบที่ตรวจสอบไฟล์ระบบปฏิบัติการที่สำคัญเป็นตัวอย่างของ HIDS ในขณะที่ระบบที่วิเคราะห์การรับส่งข้อมูลเครือข่ายขาเข้าเป็นตัวอย่างของ NIDS นอกจากนี้ยังสามารถจำแนก IDS ตามวิธีการตรวจจับได้อีกด้วย รูปแบบที่รู้จักกันดีที่สุดคือการตรวจจับตามลายเซ็น (การจดจำรูปแบบที่ไม่ดี เช่นความพยายามในการโจมตี ) และการตรวจจับตามความผิดปกติ (การตรวจจับความเบี่ยงเบนจากแบบจำลองของการรับส่งข้อมูล "ที่ดี" ซึ่งมักอาศัยการเรียนรู้ของเครื่อง ) อีกรูปแบบหนึ่งที่พบบ่อยคือ การตรวจจับตามชื่อเสียง (การจดจำภัยคุกคามที่อาจเกิดขึ้นตามคะแนนชื่อเสียง) ผลิตภัณฑ์ IDS บางตัวมีความสามารถในการตอบสนองต่อการบุกรุกที่ตรวจพบ ระบบที่มีความสามารถในการตอบสนองมักเรียกว่าระบบป้องกันการบุกรุก ( IPS ) ^{[ 5 ]}ระบบตรวจจับการบุกรุกยังสามารถทำหน้าที่เฉพาะเจาะจงได้ด้วยการเสริมด้วยเครื่องมือที่กำหนดเอง เช่น การใช้honeypotเพื่อดึงดูดและระบุลักษณะการจราจรที่เป็นอันตราย^{[ 6 ]}

แม้ว่าทั้งสองจะเกี่ยวข้องกับความปลอดภัยของเครือข่ายแต่ IDS แตกต่างจากไฟร์วอลล์ตรงที่ไฟร์วอลล์เครือข่ายแบบดั้งเดิม (ซึ่งแตกต่างจากไฟร์วอลล์รุ่นใหม่ ) ใช้ชุดกฎคงที่เพื่ออนุญาตหรือปฏิเสธการเชื่อมต่อเครือข่าย โดยจะป้องกันการบุกรุกโดยปริยาย หากสมมติว่ามีการกำหนดชุดกฎที่เหมาะสมไว้แล้ว โดยพื้นฐานแล้ว ไฟร์วอลล์จะจำกัดการเข้าถึงระหว่างเครือข่ายเพื่อป้องกันการบุกรุกและไม่ส่งสัญญาณการโจมตีจากภายในเครือข่าย IDS จะอธิบายการบุกรุกที่ต้องสงสัยเมื่อเกิดขึ้นแล้วและส่งสัญญาณเตือน IDS ยังคอยตรวจสอบการโจมตีที่มาจากภายในระบบ ซึ่งโดยทั่วไปจะทำได้โดยการตรวจสอบการสื่อสารเครือข่าย ระบุฮิวริสติกและรูปแบบ (มักเรียกว่าลายเซ็น) ของการโจมตีคอมพิวเตอร์ทั่วไป และดำเนินการเพื่อแจ้งเตือนผู้ปฏิบัติงาน ระบบที่ยุติการเชื่อมต่อเรียกว่าระบบป้องกันการบุกรุก และดำเนินการควบคุมการเข้าถึงเช่นเดียวกับไฟร์วอลล์ระดับแอปพลิเคชัน^{[ 7 ]}

IDS สามารถจำแนกได้ตามตำแหน่งที่เกิดการตรวจจับ (เครือข่ายหรือโฮสต์ ) หรือวิธีการตรวจจับที่ใช้ (ตามลายเซ็นหรือตามความผิดปกติ) ^{[ 8 ]}

ระบบตรวจจับการบุกรุกเครือข่าย (NIDS) จะถูกติดตั้ง ณ จุดยุทธศาสตร์ภายในเครือข่ายเพื่อตรวจสอบการรับส่งข้อมูลเข้าและออกจากอุปกรณ์ทั้งหมดในเครือข่าย^{[ 9 ]}ระบบจะทำการวิเคราะห์การรับส่งข้อมูลที่ผ่านบนซับเน็ต ทั้งหมด และจับคู่การรับส่งข้อมูลที่ผ่านบนซับเน็ตกับฐานข้อมูลการโจมตีที่รู้จัก เมื่อตรวจพบการโจมตีหรือตรวจพบพฤติกรรมที่ผิดปกติ ระบบจะส่งการแจ้งเตือนไปยังผู้ดูแลระบบ NIDS ทำหน้าที่ปกป้องอุปกรณ์ทุกชิ้นและเครือข่ายทั้งหมดจากการเข้าถึงโดยไม่ได้รับอนุญาต^{[ 10 ]}

ตัวอย่างของระบบตรวจจับการบุกรุกเครือข่าย (NIDS) คือการติดตั้งระบบบนซับเน็ตเดียวกับไฟร์วอลล์ เพื่อตรวจสอบว่ามีใครพยายามบุกรุกไฟร์วอลล์หรือไม่ ในอุดมคติแล้ว ควรสแกนทราฟฟิกขาเข้าและขาออกทั้งหมด แต่การทำเช่นนั้นอาจทำให้เกิดคอขวดและลดความเร็วโดยรวมของเครือข่ายได้OPNETและ NetSim เป็นเครื่องมือที่ใช้กันทั่วไปในการจำลองระบบตรวจจับการบุกรุกเครือข่าย ระบบ NIDS ยังสามารถเปรียบเทียบลายเซ็นของแพ็กเก็ตที่คล้ายกันเพื่อเชื่อมโยงและบล็อกแพ็กเก็ตที่เป็นอันตรายที่ตรวจพบซึ่งมีลายเซ็นตรงกับบันทึกใน NIDS เมื่อเราจำแนกการออกแบบของ NIDS ตามคุณสมบัติการโต้ตอบของระบบ จะมีสองประเภท ได้แก่ NIDS แบบออนไลน์และแบบออฟไลน์ ซึ่งมักเรียกว่าโหมดอินไลน์และโหมดแทป ตามลำดับ NIDS แบบออนไลน์ทำงานกับเครือข่ายแบบเรียลไทม์ มันวิเคราะห์แพ็กเก็ตอีเธอร์เน็ตและใช้กฎบางอย่างเพื่อตัดสินว่าเป็นการโจมตีหรือไม่ NIDS แบบออฟไลน์ทำงานกับข้อมูลที่จัดเก็บไว้และส่งผ่านกระบวนการบางอย่างเพื่อตัดสินว่าเป็นการโจมตีหรือไม่

NIDS ยังสามารถผสานรวมกับเทคโนโลยีอื่นๆ เพื่อเพิ่มอัตราการตรวจจับและการคาดการณ์ได้อีกด้วย IDS ที่ใช้โครง ข่ายประสาทเทียม (ANN) สามารถวิเคราะห์ข้อมูลปริมาณมหาศาลได้เนื่องจากมีเลเยอร์ที่ซ่อนอยู่และการสร้างแบบจำลองที่ไม่เป็นเชิงเส้น อย่างไรก็ตาม กระบวนการนี้ต้องใช้เวลาเนื่องจากโครงสร้างที่ซับซ้อน^{[ 11 ]}ซึ่งช่วยให้ IDS สามารถจดจำรูปแบบการบุกรุกได้อย่างมีประสิทธิภาพมากขึ้น^{[ 12 ]}โครงข่ายประสาทเทียมช่วยให้ IDS สามารถคาดการณ์การโจมตีได้โดยการเรียนรู้จากข้อผิดพลาด IDS ที่ใช้ ANN ช่วยพัฒนาระบบเตือนภัยล่วงหน้าโดยอาศัยสองชั้น ชั้นแรกรับค่าเดียว ในขณะที่ชั้นที่สองรับเอาต์พุตของชั้นแรกเป็นอินพุต วงจรจะวนซ้ำและช่วยให้ระบบสามารถจดจำรูปแบบใหม่ๆ ที่คาดไม่ถึงในเครือข่ายได้โดยอัตโนมัติ^{[ 13 ]}ระบบนี้สามารถตรวจจับและจำแนกประเภทได้โดยเฉลี่ย 99.9% โดยอิงจากผลการวิจัยของการโจมตีเครือข่าย 24 ครั้ง แบ่งออกเป็นสี่ประเภท ได้แก่ DOS, Probe, Remote-to-Local และ user-to-root ^{[ 14 ]}

ระบบตรวจจับการบุกรุกโฮสต์ (HIDS) ทำงานบนโฮสต์หรืออุปกรณ์แต่ละตัวบนเครือข่าย HIDS จะตรวจสอบแพ็กเก็ตขาเข้าและขาออกจากอุปกรณ์เท่านั้น และจะแจ้งเตือนผู้ใช้หรือผู้ดูแลระบบหากตรวจพบกิจกรรมที่น่าสงสัย ระบบจะบันทึกภาพรวมของไฟล์ระบบที่มีอยู่และเปรียบเทียบกับภาพรวมก่อนหน้า หากไฟล์ระบบที่สำคัญถูกแก้ไขหรือลบ ระบบจะส่งการแจ้งเตือนไปยังผู้ดูแลระบบเพื่อตรวจสอบ ตัวอย่างการใช้งาน HIDS สามารถพบได้ในเครื่องที่มีความสำคัญต่อภารกิจ ซึ่งคาดว่าจะไม่เปลี่ยนแปลงการกำหนดค่า^{[ 15 ] [ 16 ]}

ระบบตรวจจับการบุกรุกแบบใช้ลายเซ็นคือการตรวจจับการโจมตีโดยการมองหารูปแบบเฉพาะ เช่น ลำดับไบต์ในทราฟฟิกเครือข่าย หรือลำดับคำสั่งที่เป็นอันตรายที่รู้จักซึ่งใช้โดยมัลแวร์^{[ 17 ]}คำศัพท์นี้มีที่มาจากซอฟต์แวร์ป้องกันไวรัสซึ่งเรียกรูปแบบที่ตรวจพบเหล่านี้ว่าลายเซ็น แม้ว่าระบบตรวจจับการบุกรุกแบบใช้ลายเซ็นจะสามารถตรวจจับการโจมตีที่รู้จักได้ง่าย แต่การตรวจจับการโจมตีใหม่ๆ ที่ไม่มีรูปแบบให้ใช้นั้นเป็นเรื่องยาก^{[ 18 ]}

ในระบบตรวจจับการบุกรุกแบบใช้ลายเซ็น ลายเซ็นจะถูกเผยแพร่โดยผู้จำหน่ายสำหรับผลิตภัณฑ์ทั้งหมดของตน การอัปเดตระบบตรวจจับการบุกรุกให้ตรงกับลายเซ็นอย่างทันท่วงทีเป็นสิ่งสำคัญอย่างยิ่ง

ระบบตรวจจับการบุกรุกแบบอิงความผิดปกติได้รับการแนะนำเป็นหลักเพื่อตรวจจับการโจมตีที่ไม่รู้จัก ส่วนหนึ่งเนื่องมาจากการพัฒนาอย่างรวดเร็วของมัลแวร์ แนวทางพื้นฐานคือการใช้การเรียนรู้ของเครื่องเพื่อสร้างแบบจำลองกิจกรรมที่น่าเชื่อถือ จากนั้นเปรียบเทียบพฤติกรรมใหม่กับแบบจำลองนี้ เนื่องจากแบบจำลองเหล่านี้สามารถฝึกฝนได้ตามแอปพลิเคชันและการกำหนดค่าฮาร์ดแวร์ วิธีการแบบอิงการเรียนรู้ของเครื่องจึงมีคุณสมบัติทั่วไปที่ดีกว่าเมื่อเปรียบเทียบกับ IDS แบบอิงลายเซ็นแบบดั้งเดิม แม้ว่าแนวทางนี้จะช่วยให้ตรวจจับการโจมตีที่ไม่เคยรู้จักมาก่อนได้ แต่ก็อาจประสบปัญหาผลบวกเท็จ : กิจกรรมที่ถูกต้องตามกฎหมายที่ไม่เคยรู้จักมาก่อนอาจถูกจัดประเภทว่าเป็นอันตรายด้วย IDS ที่มีอยู่ส่วนใหญ่ประสบปัญหาจากกระบวนการตรวจจับที่ใช้เวลานานซึ่งทำให้ประสิทธิภาพของ IDS ลดลง อัลกอริทึมการ เลือกคุณลักษณะ ที่มีประสิทธิภาพ ทำให้กระบวนการจำแนกประเภทที่ใช้ในการตรวจจับมีความน่าเชื่อถือมากขึ้น^{[ 19 ]}งานวิจัยล่าสุดยังได้สำรวจแนวทางการเรียนรู้เชิงลึกสำหรับการตรวจจับการบุกรุกแบบอิงความผิดปกติ เนื่องจากวิธีการเหล่านี้สามารถเรียนรู้รูปแบบการจราจรที่ซับซ้อนและช่วยระบุการโจมตีที่ไม่เคยเห็นมาก่อนได้อย่างมีประสิทธิภาพมากขึ้น^{[ 20 ]}

Gartnerมองว่าระบบตรวจจับการบุกรุกแบบใหม่ที่เรียกว่าระบบตรวจจับการบุกรุกตามความผิดปกติคือ การวิเคราะห์พฤติกรรมผู้ใช้และเอนทิตี (UEBA) ^{[ 21 ]} (ซึ่งเป็นการพัฒนาต่อยอดจาก หมวดหมู่ การวิเคราะห์พฤติกรรมผู้ใช้ ) และการวิเคราะห์ปริมาณการรับส่งข้อมูล เครือข่าย (NTA) ^{[ 22 ]}โดยเฉพาะอย่างยิ่ง NTA จะจัดการกับผู้ไม่หวังดีภายในองค์กร รวมถึงการโจมตีจากภายนอกที่มุ่งเป้าหมายไปยังเครื่องหรือบัญชีของผู้ใช้ Gartner ตั้งข้อสังเกตว่าบางองค์กรเลือกใช้ NTA แทน IDS แบบดั้งเดิม^{[ 23 ]}

บางระบบอาจพยายามหยุดยั้งการพยายามบุกรุก แต่สิ่งนี้ไม่ใช่สิ่งที่จำเป็นหรือคาดหวังจากระบบตรวจสอบ ระบบตรวจจับและป้องกันการบุกรุก (IDPS) มุ่งเน้นไปที่การระบุเหตุการณ์ที่อาจเกิดขึ้น บันทึกข้อมูลเกี่ยวกับเหตุการณ์เหล่านั้น และรายงานความพยายามเป็นหลัก นอกจากนี้ องค์กรยังใช้ IDPS เพื่อวัตถุประสงค์อื่น ๆ เช่น การระบุปัญหาเกี่ยวกับนโยบายความปลอดภัย การบันทึกภัยคุกคามที่มีอยู่ และการยับยั้งบุคคลจากการละเมิดนโยบายความปลอดภัย IDPS ได้กลายเป็นส่วนเสริมที่จำเป็นสำหรับโครงสร้างพื้นฐานด้านความปลอดภัยของเกือบทุกองค์กร^{[ 24 ]}

โดยทั่วไปแล้ว IDPS จะบันทึกข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่สังเกต แจ้งผู้ดูแลระบบความปลอดภัยเกี่ยวกับเหตุการณ์สำคัญที่สังเกต และสร้างรายงาน นอกจากนี้ IDPS จำนวนมากยังสามารถตอบสนองต่อภัยคุกคามที่ตรวจพบได้โดยพยายามป้องกันไม่ให้ภัยคุกคามนั้นประสบความสำเร็จ โดยใช้เทคนิคการตอบสนองหลายอย่าง ซึ่งเกี่ยวข้องกับการที่ IDPS หยุดการโจมตีด้วยตนเอง เปลี่ยนแปลงสภาพแวดล้อมด้านความปลอดภัย (เช่น การกำหนดค่าไฟร์วอลล์ใหม่) หรือเปลี่ยนแปลงเนื้อหาของการโจมตี^{[ 24 ]}

ระบบป้องกันการบุกรุก ( IPS ) หรือที่รู้จักกันในชื่อระบบตรวจจับและป้องกันการบุกรุก ( IDPS ) คือ อุปกรณ์ รักษาความปลอดภัยเครือข่าย ที่ตรวจสอบกิจกรรมเครือข่ายหรือระบบเพื่อหากิจกรรมที่เป็นอันตราย หน้าที่หลักของระบบป้องกันการบุกรุกคือการระบุ ถึง กิจกรรมที่เป็นอันตราย บันทึกข้อมูลเกี่ยวกับกิจกรรมนี้ รายงาน และพยายามบล็อกหรือหยุดยั้งกิจกรรมนั้น^{[ 24 ]}

ระบบป้องกันการบุกรุกถือเป็นส่วนขยายของระบบตรวจจับการบุกรุก เนื่องจากทั้งสองระบบตรวจสอบการรับส่งข้อมูลเครือข่ายและ/หรือกิจกรรมของระบบเพื่อหาการกระทำที่เป็นอันตราย ความแตกต่างหลักคือ ระบบป้องกันการบุกรุกจะติดตั้งแบบอินไลน์ และสามารถป้องกันหรือบล็อกการบุกรุกที่ตรวจพบได้อย่างมีประสิทธิภาพ ซึ่งแตกต่างจากระบบตรวจจับการบุกรุก^{[ 25 ] : 273 [ 26 ] : 289} IPS สามารถดำเนินการต่างๆ เช่น ส่งสัญญาณเตือน ทิ้งแพ็กเก็ตที่เป็นอันตรายที่ตรวจพบรีเซ็ตการเชื่อมต่อหรือบล็อกการรับส่งข้อมูลจากที่อยู่ IP ที่ก่อปัญหา^{[ 27 ]} IPS ยังสามารถแก้ไข ข้อผิดพลาด ในการตรวจสอบความซ้ำซ้อนแบบวนรอบ (CRC)จัดเรียงสตรีมแพ็กเก็ตใหม่ ลดปัญหาการจัดลำดับ TCP และล้างตัวเลือกการขนส่งและเลเยอร์เครือข่าย ที่ไม่ต้องการ ^{[ 25 ] : 278 [ 28 ]}

ระบบป้องกันการบุกรุกสามารถจำแนกได้เป็น 4 ประเภทที่แตกต่างกัน: ^{[ 24 ] [ 29 ]}

1. ระบบป้องกันการบุกรุกบนเครือข่าย (NIPS) : ตรวจสอบเครือข่ายทั้งหมดเพื่อหาการรับส่งข้อมูลที่น่าสงสัยโดยการวิเคราะห์กิจกรรมของโปรโตคอล
2. ระบบป้องกันการบุกรุกแบบไร้สาย (WIPS) : ตรวจสอบเครือข่ายไร้สายเพื่อตรวจจับการรับส่งข้อมูลที่น่าสงสัยโดยการวิเคราะห์โปรโตคอลเครือข่ายไร้สาย
3. การวิเคราะห์พฤติกรรมเครือข่าย (Network Behavior Analysis: NBA) : ตรวจสอบปริมาณการรับส่งข้อมูลในเครือข่ายเพื่อระบุภัยคุกคามที่ก่อให้เกิดการไหลของข้อมูลที่ผิดปกติ เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (Distributed Denial of Service: DDoS) มัลแวร์บางรูปแบบ และการละเมิดนโยบาย
4. ระบบป้องกันการบุกรุกแบบติดตั้งบนโฮสต์ (HIPS) : แพ็กเกจซอฟต์แวร์ที่ติดตั้งไว้เพื่อตรวจสอบโฮสต์เดียวเพื่อหาความผิดปกติโดยการวิเคราะห์เหตุการณ์ที่เกิดขึ้นภายในโฮสต์นั้น

ระบบป้องกันการบุกรุกส่วนใหญ่ใช้วิธีการตรวจจับ 3 วิธี ได้แก่ การตรวจจับตามลายเซ็น การตรวจจับตามความผิดปกติทางสถิติ และการวิเคราะห์โปรโตคอลสถานะ^{[ 26 ] : 301 [ 30 ]}

1. การตรวจจับตามลายเซ็น : IDS ที่ใช้ลายเซ็นจะตรวจสอบแพ็กเก็ตในเครือข่ายและเปรียบเทียบกับรูปแบบการโจมตีที่กำหนดค่าไว้ล่วงหน้าและกำหนดไว้ล่วงหน้าซึ่งเรียกว่าลายเซ็น แม้ว่าจะเป็นวิธีที่ง่ายที่สุดและมีประสิทธิภาพที่สุด แต่ก็ไม่สามารถตรวจจับการโจมตีที่ไม่รู้จักและรูปแบบต่างๆ ของการโจมตีที่รู้จักได้^{[ 31 ]}
2. การตรวจจับความผิดปกติทางสถิติ : IDS ที่ใช้การตรวจจับความผิดปกติจะตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายและเปรียบเทียบกับค่าพื้นฐานที่กำหนดไว้ ค่าพื้นฐานจะระบุสิ่งที่ "ปกติ" สำหรับเครือข่ายนั้น เช่น แบนด์วิดท์ที่ใช้โดยทั่วไปและโปรโตคอลที่ใช้ อย่างไรก็ตาม อาจเกิดการแจ้งเตือนผิดพลาด (False Positive) สำหรับการใช้งานแบนด์วิดท์ที่ถูกต้อง หากค่าพื้นฐานไม่ได้ถูกกำหนดค่าอย่างชาญฉลาด^{[ 32 ]}โมเดลแบบ Ensemble ที่ใช้สัมประสิทธิ์สหสัมพันธ์ของ Matthews เพื่อระบุปริมาณการรับส่งข้อมูลเครือข่ายที่ไม่ได้รับอนุญาตมีความแม่นยำ 99.73% ^{[ 33 ]}
3. การตรวจจับการวิเคราะห์โปรโตคอลแบบมีสถานะ : วิธีนี้ระบุความเบี่ยงเบนของสถานะโปรโตคอลโดยการเปรียบเทียบเหตุการณ์ที่สังเกตได้กับ "โปรไฟล์ที่กำหนดไว้ล่วงหน้าของคำจำกัดความกิจกรรมที่ไม่เป็นอันตรายที่ยอมรับกันโดยทั่วไป" ^{[ 26 ]}แม้ว่าจะสามารถรับรู้และติดตามสถานะโปรโตคอลได้ แต่ก็ต้องใช้ทรัพยากรจำนวนมาก^{[ 31 ]}

การวางตำแหน่งระบบตรวจจับการบุกรุกอย่างถูกต้องเป็นสิ่งสำคัญและแตกต่างกันไปตามเครือข่าย ตำแหน่งที่พบได้บ่อยที่สุดคือหลังไฟร์วอลล์ ที่ขอบของเครือข่าย วิธีนี้ทำให้ IDS สามารถมองเห็นการรับส่งข้อมูลที่เข้ามาในเครือข่ายได้อย่างชัดเจน และจะไม่ได้รับข้อมูลการรับส่งระหว่างผู้ใช้ในเครือข่าย ขอบของเครือข่ายคือจุดที่เครือข่ายเชื่อมต่อกับเอ็กซ์ทราเน็ต อีกวิธีหนึ่งที่สามารถทำได้หากมีทรัพยากรมากขึ้นคือ กลยุทธ์ที่ช่างเทคนิคจะวาง IDS ตัวแรกไว้ที่จุดที่มองเห็นได้ชัดเจนที่สุด และขึ้นอยู่กับความพร้อมของทรัพยากร จะวางอีกตัวหนึ่งไว้ที่จุดที่มองเห็นได้ชัดเจนรองลงมา โดยดำเนินการเช่นนั้นต่อไปจนกว่าจะครอบคลุมทุกจุดของเครือข่าย^{[ 34 ]}

หาก IDS ถูกวางไว้นอกไฟร์วอลล์ของเครือข่าย จุดประสงค์หลักคือการป้องกันสัญญาณรบกวนจากอินเทอร์เน็ต แต่ที่สำคัญกว่านั้นคือการป้องกันการโจมตีทั่วไป เช่น การสแกนพอร์ตและ Network Mapper IDS ในตำแหน่งนี้จะตรวจสอบเลเยอร์ 4 ถึง 7 ของโมเดล OSI และจะใช้ลายเซ็น นี่เป็นวิธีปฏิบัติที่มีประโยชน์มาก เพราะแทนที่จะแสดงการละเมิดเครือข่ายที่ผ่านไฟร์วอลล์มาได้ จะแสดงเฉพาะการพยายามละเมิด ซึ่งจะช่วยลดจำนวนผลลัพธ์ที่เป็นเท็จ IDS ในตำแหน่งนี้ยังช่วยลดเวลาที่ใช้ในการค้นพบการโจมตีเครือข่ายที่ประสบความสำเร็จอีกด้วย^{[ 35 ]}

บางครั้ง IDS ที่มีคุณสมบัติขั้นสูงกว่าจะถูกรวมเข้ากับไฟร์วอลล์เพื่อให้สามารถสกัดกั้นการโจมตีที่ซับซ้อนที่เข้ามาในเครือข่ายได้ ตัวอย่างของคุณสมบัติขั้นสูง ได้แก่ บริบทความปลอดภัยหลายรายการในระดับการกำหนดเส้นทางและโหมดบริดจ์ ทั้งหมดนี้จะช่วยลดต้นทุนและความซับซ้อนในการดำเนินงานได้^{[ 35 ]}

อีกทางเลือกหนึ่งสำหรับการวาง IDS คือภายในเครือข่ายจริง สิ่งเหล่านี้จะเปิดเผยการโจมตีหรือกิจกรรมที่น่าสงสัยภายในเครือข่าย การละเลยความปลอดภัยภายในเครือข่ายอาจก่อให้เกิดปัญหามากมาย ซึ่งจะทำให้ผู้ใช้สามารถก่อให้เกิดความเสี่ยงด้านความปลอดภัย หรือทำให้ผู้โจมตีที่บุกเข้ามาในเครือข่ายแล้วสามารถเคลื่อนไหวได้อย่างอิสระ ความปลอดภัยของอินทราเน็ตที่เข้มงวดทำให้แม้แต่แฮกเกอร์ภายในเครือข่ายก็ยังเคลื่อนไหวและยกระดับสิทธิ์ได้ยาก^{[ 35 ]}

• สัญญาณรบกวนสามารถจำกัดประสิทธิภาพของระบบตรวจจับการบุกรุกได้อย่างมาก แพ็กเก็ตที่ไม่ดีที่เกิดจากข้อบกพร่องของซอฟต์แวร์ ข้อมูล DNSที่เสียหายและแพ็กเก็ตภายในที่หลุดรอดออกไปสามารถสร้างอัตราการแจ้งเตือนผิดพลาดที่สูงมาก^{[ 36 ]}
• ไม่ใช่เรื่องแปลกที่จำนวนการโจมตีจริงจะน้อยกว่าจำนวนการแจ้งเตือนผิดพลาดมาก จำนวนการโจมตีจริงมักจะน้อยกว่าจำนวนการแจ้งเตือนผิดพลาดมากจนการโจมตีจริงมักจะถูกมองข้ามและละเลย^{[ 36 ]}
• การโจมตีจำนวนมากมุ่งเป้าไปที่ซอฟต์แวร์เวอร์ชันเฉพาะซึ่งมักจะล้าสมัย จำเป็นต้องมีไลบรารีลายเซ็นที่เปลี่ยนแปลงอยู่ตลอดเวลาเพื่อลดภัยคุกคาม ฐานข้อมูลลายเซ็นที่ล้าสมัยอาจทำให้ IDS เสี่ยงต่อกลยุทธ์ใหม่ๆ^{[ 36 ]}
• สำหรับ IDS ที่ใช้ลายเซ็น จะมีช่วงเวลาล่าช้าระหว่างการค้นพบภัยคุกคามใหม่และการนำลายเซ็นไปใช้กับ IDS ในช่วงเวลาที่ล่าช้านี้ IDS จะไม่สามารถระบุภัยคุกคามได้^{[ 32 ]}
• ระบบตรวจจับการบุกรุก (IDS ) ไม่สามารถชดเชยกลไกการระบุตัวตนและการตรวจสอบสิทธิ์ ที่อ่อนแอ หรือจุดอ่อนในโปรโตคอลเครือข่ายได้ เมื่อผู้โจมตีเข้าถึงระบบได้เนื่องจากกลไกการตรวจสอบสิทธิ์ที่อ่อนแอ ระบบ IDS ก็ไม่สามารถป้องกันผู้โจมตีจากการกระทำที่ไม่เหมาะสมใดๆ ได้
• อุปกรณ์ตรวจจับการบุกรุกส่วนใหญ่ไม่สามารถประมวลผลแพ็กเก็ตที่เข้ารหัสได้ ดังนั้น แพ็กเก็ตที่เข้ารหัสจึงอาจทำให้เกิดการบุกรุกเครือข่ายโดยไม่ถูกตรวจพบ จนกว่าจะเกิดการบุกรุกเครือข่ายครั้งใหญ่ขึ้นเสียก่อน
• ซอฟต์แวร์ตรวจจับการบุกรุกจะให้ข้อมูลโดยอิงจากที่อยู่เครือข่ายที่เชื่อมโยงกับแพ็กเก็ต IP ที่ส่งเข้าไปในเครือข่าย ซึ่งจะมีประโยชน์หากที่อยู่เครือข่ายที่อยู่ในแพ็กเก็ต IP นั้นถูกต้อง อย่างไรก็ตาม ที่อยู่ดังกล่าวอาจถูกปลอมแปลงหรือเข้ารหัสได้
• เนื่องจากลักษณะของระบบ NIDS และความจำเป็นในการวิเคราะห์โปรโตคอลขณะที่ถูกบันทึก ระบบ NIDS จึงอาจเสี่ยงต่อการโจมตีตามโปรโตคอลแบบเดียวกับที่โฮสต์เครือข่ายอาจเสี่ยงได้ การโจมตีข้อมูลที่ไม่ถูกต้องและ การโจมตี สแต็ก TCP/IPอาจทำให้ NIDS ล่มได้^{[ 37 ]}
• มาตรการรักษาความปลอดภัยบนคลาวด์คอมพิวติ้งไม่ได้คำนึงถึงความต้องการความเป็นส่วนตัวที่แตกต่างกันของผู้ใช้^{[ 38 ]}มาตรการเหล่านี้มีกลไกการรักษาความปลอดภัยแบบเดียวกันสำหรับผู้ใช้ทุกคน ไม่ว่าผู้ใช้จะเป็นบริษัทหรือบุคคลทั่วไปก็ตาม^{[ 38 ]}

ผู้โจมตีใช้เทคนิคหลายอย่าง โดยต่อไปนี้ถือเป็นมาตรการ 'ง่ายๆ' ที่สามารถนำมาใช้เพื่อหลีกเลี่ยงระบบตรวจจับการบุกรุก (IDS):

• การแบ่งส่วนข้อมูล: ด้วยการส่งแพ็กเก็ตที่ถูกแบ่งส่วน ผู้โจมตีจะสามารถหลบเลี่ยงการตรวจจับของระบบได้อย่างง่ายดาย
• หลีกเลี่ยงค่าเริ่มต้น: พอร์ต TCP ที่ใช้โดยโปรโตคอลไม่ได้บ่งบอกถึงโปรโตคอลที่กำลังส่งข้อมูลเสมอไป ตัวอย่างเช่น ระบบตรวจจับการบุกรุก (IDS) อาจคาดหวังว่าจะตรวจจับโทรจันได้ที่พอร์ต 12345 หากผู้โจมตีได้กำหนดค่าใหม่ให้ใช้พอร์ตอื่น ระบบ IDS อาจไม่สามารถตรวจจับโทรจันได้
• การโจมตีแบบประสานงานและใช้แบนด์วิดท์ต่ำ: การประสานงานการสแกนระหว่างผู้โจมตี (หรือเอเจนต์) จำนวนมาก และการจัดสรรพอร์ตหรือโฮสต์ที่แตกต่างกันให้กับผู้โจมตีแต่ละราย ทำให้ระบบตรวจจับการบุกรุก (IDS) ยากที่จะเชื่อมโยงแพ็กเก็ตที่ตรวจจับได้และสรุปได้ว่ากำลังมีการสแกนเครือข่ายอยู่
• การปลอมแปลงที่อยู่ IP /การใช้พร็อกซี: ผู้โจมตีสามารถเพิ่มความยากลำบากให้กับผู้ดูแลระบบรักษาความปลอดภัยในการระบุแหล่งที่มาของการโจมตีได้ โดยใช้พร็อกซีเซิร์ฟเวอร์ที่มีการรักษาความปลอดภัยไม่ดีหรือตั้งค่าไม่ถูกต้องเพื่อส่งต่อการโจมตี หากแหล่งที่มาถูกปลอมแปลงและส่งต่อโดยเซิร์ฟเวอร์ จะทำให้ระบบตรวจจับการบุกรุก (IDS) ตรวจจับต้นกำเนิดของการโจมตีได้ยากมาก
• การหลีกเลี่ยงการตรวจจับด้วยการเปลี่ยนรูปแบบ: โดยทั่วไปแล้ว ระบบตรวจจับการบุกรุก (IDS) อาศัย "การจับคู่รูปแบบ" ในการตรวจจับการโจมตี การเปลี่ยนแปลงข้อมูลที่ใช้ในการโจมตีเพียงเล็กน้อย อาจทำให้สามารถหลีกเลี่ยงการตรวจจับได้ ตัวอย่างเช่น เซิร์ฟเวอร์ Internet Message Access Protocol (IMAP) อาจมีความเสี่ยงต่อการโจมตีแบบบัฟเฟอร์โอเวอร์โฟลว์ และ IDS สามารถตรวจจับลายเซ็นการโจมตีของเครื่องมือโจมตีทั่วไป 10 ชนิดได้ แต่การแก้ไขเพย์โหลดที่ส่งโดยเครื่องมือเหล่านั้น เพื่อไม่ให้เหมือนกับข้อมูลที่ IDS คาดหวัง อาจทำให้สามารถหลีกเลี่ยงการตรวจจับได้

แนวคิด IDS เบื้องต้นแรกสุดได้รับการกำหนดไว้ในปี 1980 โดย James Anderson ที่สำนักงานความมั่นคงแห่งชาติและประกอบด้วยชุดเครื่องมือที่มุ่งหมายให้ผู้ดูแลระบบตรวจสอบเส้นทางการตรวจสอบ^{[ 39 ]}บันทึกการเข้าถึงของผู้ใช้ บันทึกการเข้าถึงไฟล์ และบันทึกเหตุการณ์ของระบบเป็นตัวอย่างของเส้นทางการตรวจสอบ

เฟรด โคเฮนตั้งข้อสังเกตในปี 1987 ว่าเป็นไปไม่ได้ที่จะตรวจจับการบุกรุกในทุกกรณี และทรัพยากรที่จำเป็นในการตรวจจับการบุกรุกจะเพิ่มขึ้นตามปริมาณการใช้งาน^{[ 40 ]}

Dorothy E. Denningโดยได้รับความช่วยเหลือจากPeter G. Neumannได้ตีพิมพ์แบบจำลองของ IDS ในปี 1986 ซึ่งเป็นพื้นฐานสำหรับระบบจำนวนมากในปัจจุบัน^{[ 41 ] [ 42 ]} แบบจำลองของเธอใช้สถิติในการตรวจจับความผิดปกติและส่งผลให้เกิด IDS รุ่นแรกที่SRI Internationalชื่อ Intrusion Detection Expert System (IDES) ซึ่งทำงานบน เวิร์กสเตชัน Sunและสามารถพิจารณาข้อมูลทั้งระดับผู้ใช้และระดับเครือข่ายได้^{[ 43 ]} IDES มีแนวทางแบบคู่ โดยมี ระบบผู้เชี่ยวชาญ แบบใช้กฎเพื่อตรวจจับการบุกรุกประเภทที่รู้จัก บวกกับส่วนประกอบการตรวจจับความผิดปกติทางสถิติโดยอิงจากโปรไฟล์ของผู้ใช้ ระบบโฮสต์ และระบบเป้าหมาย Teresa F. Lunt ผู้เขียน "IDES: An Intelligent System for Detecting Intruders" เสนอให้เพิ่มเครือข่ายประสาทเทียมเป็นส่วนประกอบที่สาม เธอกล่าวว่าส่วนประกอบทั้งสามสามารถรายงานไปยังตัวแก้ไขได้ SRI ได้พัฒนาต่อยอดจาก IDES ในปี 1993 ด้วย Next-generation Intrusion Detection Expert System (NIDES) ^{[ 44 ]}

ระบบ ตรวจจับและแจ้งเตือนการบุกรุก Multics (MIDAS) ซึ่งเป็นระบบผู้เชี่ยวชาญที่ใช้ P-BEST และLispได้รับการพัฒนาในปี พ.ศ. 2531 โดยอิงจากผลงานของ Denning และ Neumann ^{[ 45 ]} Haystack ก็ได้รับการพัฒนาในปีนั้นเช่นกัน โดยใช้สถิติเพื่อลดร่องรอยการตรวจสอบ^{[ 46 ]}

ในปี พ.ศ. 2529 สำนักงานความมั่นคงแห่งชาติได้เริ่มโครงการถ่ายทอดงานวิจัย IDS ภายใต้การดูแลของRebecca Baceต่อมา Bace ได้ตีพิมพ์ตำราสำคัญเกี่ยวกับเรื่องนี้ในชื่อIntrusion Detectionในปี พ.ศ. 2543 ^{[ 47 ]}

Wisdom & Sense (W&S) เป็นตัวตรวจจับความผิดปกติที่ใช้สถิติซึ่งพัฒนาขึ้นในปี 1989 ที่ห้องปฏิบัติการแห่งชาติลอสอะลาโมส [ ^{48 ] W} &S สร้างกฎโดยอิงจากการวิเคราะห์ทางสถิติ จากนั้นใช้กฎเหล่านั้นในการตรวจจับความผิดปกติ

ในปี พ.ศ. 2533 เครื่อง Time-based Inductive Machine (TIM) ตรวจจับความผิดปกติโดยใช้การเรียนรู้แบบอุปนัยของรูปแบบผู้ใช้ตามลำดับในCommon Lispบน คอมพิวเตอร์ VAX 3500 ^{[ 49 ]} Network Security Monitor (NSM) ทำการมาสก์เมทริกซ์การเข้าถึงเพื่อตรวจจับความผิดปกติบนเวิร์กสเตชัน Sun-3/50 ^{[ 50 ]} Information Security Officer's Assistant (ISOA) เป็นต้นแบบในปี พ.ศ. 2533 ที่พิจารณากลยุทธ์ที่หลากหลาย รวมถึงสถิติ ตัวตรวจสอบโปรไฟล์ และระบบผู้เชี่ยวชาญ^{[ 51 ]} ComputerWatch ที่AT&T Bell Labsใช้สถิติและกฎสำหรับการลดข้อมูลการตรวจสอบและการตรวจจับการบุกรุก^{[ 52 ]}

จากนั้นในปี 1991 นักวิจัยที่มหาวิทยาลัยแคลิฟอร์เนีย เดวิสได้สร้างต้นแบบระบบตรวจจับการบุกรุกแบบกระจาย (DIDS) ซึ่งเป็นระบบผู้เชี่ยวชาญเช่นกัน^{[ 53 ]} ระบบตรวจจับความผิดปกติและรายงานการบุกรุกเครือข่าย (NADIR) ซึ่งพัฒนาขึ้นในปี 1991 เช่นกัน เป็นต้นแบบ IDS ที่พัฒนาขึ้นที่เครือข่ายคอมพิวเตอร์แบบบูรณาการ (ICN) ของห้องปฏิบัติการแห่งชาติลอสอะลาโมส และได้รับอิทธิพลอย่างมากจากงานของเดนนิงและลันต์^{[ 54 ]} NADIR ใช้ตัวตรวจจับความผิดปกติแบบอิงสถิติและระบบผู้เชี่ยวชาญ

ห้องปฏิบัติการแห่งชาติลอว์เรนซ์เบิร์กลีย์ประกาศใช้Broในปี 1998 ซึ่งใช้ภาษากฎของตนเองสำหรับการวิเคราะห์แพ็กเก็ตจากข้อมูลlibpcap ^{[ 55 ]} เครื่องบันทึกการบินเครือข่าย (NFR) ในปี 1999 ก็ใช้ libpcap เช่นกัน^{[ 56 ]}

APE ได้รับการพัฒนาเป็นโปรแกรมดักจับแพ็กเก็ตโดยใช้ libpcap ในเดือนพฤศจิกายน พ.ศ. 2541 และเปลี่ยนชื่อเป็นSnortในอีกหนึ่งเดือนต่อมา Snort ได้กลายเป็นระบบ IDS/IPS ที่ใช้งานมากที่สุดในโลก โดยมีผู้ใช้งานมากกว่า 300,000 ราย^{[ 57 ]}สามารถตรวจสอบได้ทั้งระบบภายในและจุดจับภาพระยะไกลโดยใช้โปรโตคอล TZSP

ระบบตรวจจับการบุกรุก (IDS) ที่ใช้การวิเคราะห์และขุดค้นข้อมูลการตรวจสอบ (ADAM) ในปี 2544 ใช้tcpdumpเพื่อสร้างโปรไฟล์ของกฎสำหรับการจำแนกประเภท^{[ 58 ]}ในปี 2546 Yongguang Zhangและ Wenke Lee ได้โต้แย้งถึงความสำคัญของ IDS ในเครือข่ายที่มีโหนดเคลื่อนที่^{[ 59 ]}

ในปี 2558 Viegas และเพื่อนร่วมงานของเขา^{[ 60 ]}ได้เสนอเครื่องมือตรวจจับการบุกรุกตามความผิดปกติ โดยมุ่งเป้าไปที่ System-on-Chip (SoC) สำหรับการใช้งานใน Internet of Things (IoT) เป็นต้น ข้อเสนอนี้ใช้การเรียนรู้ของเครื่องสำหรับการตรวจจับความผิดปกติ โดยให้ประสิทธิภาพด้านพลังงานแก่การใช้งานตัวจำแนกประเภท Decision Tree, Naive-Bayes และ k-Nearest Neighbors ใน CPU Atom และการใช้งานที่เป็นมิตรกับฮาร์ดแวร์ใน FPGA ^{[ 61 ] [ 62 ]}ในเอกสารทางวิชาการ นี่เป็นงานแรกที่นำตัวจำแนกประเภทแต่ละตัวมาใช้ในซอฟต์แวร์และฮาร์ดแวร์อย่างเท่าเทียมกัน และวัดการใช้พลังงานในทั้งสองระบบ นอกจากนี้ยังเป็นครั้งแรกที่มีการวัดการใช้พลังงานสำหรับการสกัดคุณลักษณะแต่ละอย่างที่ใช้ในการจำแนกประเภทแพ็กเก็ตเครือข่าย ซึ่งนำมาใช้ในซอฟต์แวร์และฮาร์ดแวร์^{[ 63 ]}

กรอบกฎระเบียบหลายฉบับกำหนดหรือแนะนำให้มีระบบตรวจจับการบุกรุกเป็นส่วนหนึ่งของการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล

ในสหรัฐอเมริกา กฎความปลอดภัย ของพระราชบัญญัติการพกพาและการรับผิดชอบด้านการประกันสุขภาพ (HIPAA) กำหนดให้หน่วยงานที่อยู่ภายใต้การคุ้มครองต้องดำเนินการตามขั้นตอนสำหรับการตรวจสอบความพยายามในการเข้าสู่ระบบและรายงานความคลาดเคลื่อนเป็นส่วนหนึ่งของการตรวจสอบกิจกรรมระบบสารสนเทศ^{[ 64 ]}ประกาศร่างกฎระเบียบ (NPRM) เดือนธันวาคม 2024 เพื่อปรับปรุงกฎความปลอดภัยของ HIPAA จะกำหนดอย่างชัดเจนให้มีการใช้งานระบบตรวจจับการบุกรุกและระบบป้องกันการบุกรุก พร้อมกับการตรวจสอบอย่างต่อเนื่องของระบบสารสนเทศทั้งหมดที่มีข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์^{[ 65 ]}

มาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) กำหนดให้ใช้เทคนิคการตรวจจับการบุกรุกหรือการป้องกันการบุกรุกเพื่อตรวจจับหรือป้องกันการบุกรุกเข้าสู่เครือข่ายที่จัดการข้อมูลผู้ถือบัตร (ข้อกำหนด 11.5) ^{[ 66 ]}สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) SP 800-53ประกอบด้วยกลุ่มควบคุม SI-4 (การตรวจสอบระบบสารสนเทศ) ซึ่งระบุการตรวจจับการบุกรุกเป็นความสามารถหลักสำหรับระบบสารสนเทศของรัฐบาลกลาง^{[ 67 ]}

• ระบบตรวจจับการบุกรุกตามโปรโตคอลแอปพลิเคชัน (APIDS)
• ระบบภูมิคุ้มกันเทียม
• สวิตช์บายพาส
• การโจมตีแบบปฏิเสธการให้บริการ
• การวิเคราะห์ DNS
• การตรวจจับการอัดรีด
• รูปแบบการแลกเปลี่ยนข้อความตรวจจับการบุกรุก
• ระบบตรวจจับการบุกรุกตามโปรโตคอล (PIDS)
• ระบบรักษาความปลอดภัยแบบปรับเปลี่ยนได้แบบเรียลไทม์
• การจัดการความปลอดภัย
• ชิลด์สอัพ
• การป้องกันที่กำหนดโดยซอฟต์แวร์

• Bace, Rebecca Gurley (2000). การตรวจจับการบุกรุก . อินเดียนาโพลิส, อินเดียนา: Macmillan Technical. ISBN 978-1578701858.
• เบซรูคอฟ, นิโคไล (11 ธันวาคม 2551). "ปัญหาทางสถาปัตยกรรมของโครงสร้างพื้นฐานการตรวจจับการบุกรุกในองค์กรขนาดใหญ่ (ฉบับแก้ไข 0.82)" . ซอฟต์พาโนรามา. สืบค้นเมื่อ30 กรกฎาคม 2553 .
• PM Mafra และ JS Fraga และ AO Santin (2014). "อัลกอริทึมสำหรับ IDS แบบกระจายใน MANETs"วารสารวิทยาการคอมพิวเตอร์และระบบ 80 ( 3): 554– 570. doi : 10.1016/j.jcss.2013.06.011 .
• Hansen, James V.; Benjamin Lowry, Paul; Meservy, Rayman; McDonald, Dan (2007). "การเขียนโปรแกรมทางพันธุกรรมเพื่อป้องกันการก่อการร้ายทางไซเบอร์ผ่านการตรวจจับการบุกรุกแบบไดนามิกและวิวัฒนาการ" Decision Support Systems . 43 (4): 1362– 1374. doi : 10.1016/j.dss.2006.04.004 . SSRN  877981 .
• Scarfone, Karen; Mell, Peter (กุมภาพันธ์ 2550). "NIST – คู่มือระบบตรวจจับและป้องกันการบุกรุก (IDPS)" (PDF) . ศูนย์ทรัพยากรความปลอดภัยคอมพิวเตอร์ ( 800–94 ). doi : 10.6028/NIST.SP.800-94 . สืบค้นเมื่อ27 ธันวาคม 2566 .
• สิงห์, อภิเษก. "การหลบเลี่ยงในระบบตรวจจับการป้องกันการบุกรุก" . วารสารไวรัส. สืบค้นเมื่อ1 เมษายน 2553 .
• Dubey, Abhinav. "การนำระบบตรวจจับการบุกรุกเครือข่ายไปใช้โดยใช้การเรียนรู้เชิงลึก" . Medium . สืบค้นเมื่อ17 เมษายน 2021 .

• Al_Ibaisi, T., Abu-Dalhoum, AE-L., Al-Rawi, M., Alfonseca, M., & Ortega, A. (ไม่มีวันที่ระบุ). การตรวจจับการบุกรุกเครือข่ายโดยใช้อัลกอริธึมทางพันธุกรรมเพื่อค้นหาลายเซ็น DNA ที่ดีที่สุดhttp://www.wseas.us/e-library/transactions/systems/2008/27-535.pdf
• Ibaisi, TA, Kuhn, S., Kaiiali, M., & Kazim, M. (2023). การตรวจจับการบุกรุกเครือข่ายโดยอาศัยโครงสร้างลำดับกรดอะมิโนโดยใช้การเรียนรู้ของเครื่อง Electronics, 12(20), 4294. https://doi.org/10.3390/electronics12204294

• ช่องโหว่และความเสี่ยงทั่วไป (CVE) จำแนกตามผลิตภัณฑ์
• NIST SP 800-83 คู่มือการป้องกันและจัดการเหตุการณ์มัลแวร์
• NIST SP 800-94, คู่มือระบบตรวจจับและป้องกันการบุกรุก (IDPS)