A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando ataques a uma central. Em geral, IDS de rede são melhores em detectar as seguintes atividades:
            - Acesso desautorizado de fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa de log is melhor realizado por IDS de rede;
            - Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser percebidos com o uso de IDS de rede;
·
Vantagens do IDS baseado em rede:
            - Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;
            - Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede;
            - Difíceis de serem percebidos por atacantes e com grande segurança contra ataques; ·

Desvantagens do IDS baseado em rede:
            - Podem falhar em reconhecer um ataque em um momento de trafego intenso;
            - Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
            - Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;
            - Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

        A figura abaixo mostra um IDS de rede instalado numa rede privada: