Sistemas de Detecção de Intrusão atuam monitorando eventos numa estação, ou na rede em si, averiguando possíveis sinais de intrusão, invasão, comportamento anômalo e até má configurações que podem levar a problemas futuros. Tal análise é feita buscando sequências de eventos comuns em ataques, conhecidas como assinaturas ou analisando estatisticamente o comportamento da rede ou máquina em busca de procedimentos atípicos, que podem indicar atividades suspeitas.

Quando essas condições são identificadas o IDS deve alertar o responsável, previamente configurado, com isso consequências de um ataque real podem ser minimizadas.

Tais softwares também registram os ataques, possibilitando às instituições obter conhecimento sobre os crackers, como as técnicas de invasão usadas e os objetivos do ataque. O uso de Honeypots é de grande valia neste campo.

Outra vantagem dos IDS é que eles prezam pela transparência, buscando não ser perceptível ao invasor que está sendo monitorado.

Recentemente foram concebidos os IPSs, Sistemas de Prevenção de Intrusão, que atuam de forma ativa em associação com o firewall para não apenas detectar, mas também tomar medidas em tempo real para a proteção da rede.