システムをアタックから保護するだけでなく、アタックの危険が迫っているかもしれないことを示す利用パターンを検出することが、より重要になってきています。多くのアタックは、情報収集、リソース (情報、アプリケーション、ストレージ) への無許可アクセス、そしてサービス妨害という一連の順序に従って行われます。サービス妨害攻撃を誰が行っているかを判断するのは難しく、多くの場合は不可能です。情報収集活動とアクセス違反の相関関係を調べることによって、アタックが成功する前に侵入者を識別するのに役立つことがあります。
侵入検知サービス (IDS) は、以下のサポートを提供します。
IDS ポリシーを使用して、イベント条件および、特定のイベントに対して実行するアクションを指定できます。すべての IDS ポリシーは、syslogd またはシステム・コンソール、またはその両方で指定されているメッセージ優先順位レベルまでのイベントのロギングをサポートしています。ほとんどの IDS ポリシーでは以下の機能をサポートしています。
IDS は各イベントに相関係数値を割り当てます。この相関係数は、システム・コンソールおよび syslogd に書き込まれるすべてのメッセージ、ならびに IDS トレースに書き込まれるレコードによって使用されます。検出された単一のイベントには、複数のパケットが含まれる場合があります。相関係数の値によって、どのメッセージとパケットが相互に関係しているかが識別されます。各 IDS ポリシーには、条件またはアクションに指定できる追加属性があります。