Tutti i modelli gestiscono l'analisi dei dati acquisendo questi ultimi con i cosiddetti sensori. Fondamentalmente la differenza tra i vari IDS consiste, in prima analisi, nel posto in cui i sensori vengono collocati. Negli HIDS, infatti, i sensori ricavano le info dai C2 audit log, system log, application log. Altre varianti usano i cosiddetti "local watchdog" cioè moduli che analizzano in modo selettivo il traffico su un determinato host.
I NIDS (Network based IDS), invece, operano il controllo va. Per comprendere il concetto si pensi all'analogia con gli sniffer. Anche in questo caso, i moduli di controllo, installati su device di rete o dedicati, operano un'analisi dei dati in transito.
Un punto a favore è l'impatto minimo in termini di performance. Inoltre, l'installazione di moduli IDS in un contesto Network Based aumenta anche la protezione dagli attacchi di tipo tampering. Uno dei problemi maggiormente sentiti è che, spesso, i NIDS possono perdere alcuni pacchetti in caso di attacchi di tipo flood o in caso di sessioni crittografate.
Uno dei modelli alternativi è quello detto "ibrido", composto da un mix degli elementi sopra descritti. Inoltre alcuni vendor come Iss stanno migrando definitivamente a un'impostazione che chiamano "agent based", che può essere interpretata come un'evoluzione degli HIDS.
Www. netstime. com ha affrontato per la prima volta alcuni mesi fa il discorso intrusion detection. All'indirizzo http:// www. netstime. com/ focuszone/ security/ index.html potrete trovare numerosi spunti di approfondimento.