Essa é a tecnologia de IDS mais nova e varia bastante de vendedor para vendedor. Este tipo de IDS funciona integrando próximo à pilha TCP/IP, permitindo que pacotes sejam vistos quando eles fazem seu caminho através das camadas OSI. Vendo os pacotes desse jeito permite ao IDS puxar pacotes da pilha antes que o sistema operacional ou a aplicação tenham a chance de processar os pacotes. Esse IDS deve olhar o trafego entrando e saindo do sistema. Monitorando apenas pacotes de rede destinados apenas para uma simples estação, o principio é fazer com que o IDS tenha baixo overhead suficiente para que todos os sistemas na rede possam rodar esse IDS.