Intrusion detection system system er en måde at holde øje med mistænkelig aktivitet og holde nysgerrige folk ude ved hjælp af  netværkstrafik analyse, packet logging på IP netværk. Nogle af de værktøjer som bliver brugt til dette er protokol analyse, indholds søgning, og forskellige foruds-indstillinger. IDS kan bruges til at finde orme, sikkerheds exploits forsøg, port skanninger og andre mistænkelige mønstre. Der findes to forskellige former for Intrusion detection systems, Network Intrusion detection system (NIDS), og Host Intrusion detection system  (HIDS).

NIDS (Network Intrusion detection system)

  • Er placeret på et strategisk sted eller flere steder, hvor den monitorerer netværks trafik til og fra alle enheder på netværket. Den laver analyser af passerende trafik og hele subnettet og matcher den trafik som passer igennem subnettet til et bibliotek af kendte angrebs muligheder. Når et angreb bliver indiceret eller en mistænkelig adfærd bliver fundet bliver en alarm sendt til administratoren.  Der kan også laves regler på pakke basis, hvor muligheden for blokering af pakker er muligt.

HIDS (Host Intrusion detection system)

  • Kører på en host eller enheder på netværket. HIDS monitorerer indgående og udgående pakker fra enheden som det er på og vil advare brugeren eller administratoren hvis mistænkelig aktivitet bliver fundet. HIDS tager et snapshot af de eksisterende system filer og matcher dem med tidligere snapshots, hvis en system kritisk fil bliver ændret eller slettet bliver der sendt en mail til administratoren. Dette gør HIDS rigtigt godt på system kritiske enheder som ikke er lavet til at blive ændret i.