Обнаружение вторжения связано с обнаружением несанкционированных попыток доступа к компьютерной сети или физической компьютерной системе. Его целью является обнаружение любых угроз, которые могут позволить доступ к несанкционированной информации, негативно повлиять на целостность данных или привести к потере доступа в сети. Обычно он реализуется с помощью системы обнаружения вторжений (IDS), которая обнаруживает, записывает и регистрирует различную информацию о других, подключающихся к сети или обращающихся к физическому хосту. Эти системы могут варьироваться от программных решений, которые просто регистрируют информацию о трафике, до физических систем, которые включают охранников, камеры и датчики движения.

Существует три основных типа обнаружения вторжений, включая сетевые, хостовые и физические методы. Сетевые методы пытаются помечать подозрительный сетевой трафик и обычно используют программы, которые записывают трафик и пакеты, проходящие через сеть. Методы на основе хоста ищут возможные вторжения в физическую компьютерную систему и проверяют целостность файлов, идентифицируют руткиты, отслеживают локальные политики безопасности и анализируют журналы. Физические методы также имеют дело с выявлением проблем безопасности на физических устройствах и используют физические средства управления, такие как люди, камеры безопасности, брандмауэры и датчики движения. Во многих сферах бизнеса с конфиденциальными данными и критически важными системами комбинация этих методов желательна для обеспечения максимальной безопасности.

Системы обнаружения вторжений обычно не предотвращают вторжения; вместо этого они просто регистрируют события, которые происходят, чтобы другие могли собирать и анализировать информацию. Хотя это особенно верно для методов обнаружения вторжений на основе сети и хоста, это может быть не так для некоторых физических методов, таких как брандмауэры и персонал службы безопасности. Брандмауэры часто предоставляют возможность блокировать подозрительный трафик и могут узнать, что является и не разрешен доступ. Сотрудники службы безопасности также могут предотвратить физическое проникновение людей в компанию или центр обработки данных, а отслеживаемые ловушки и системы контроля доступа - это другие физические методы, которые могут предотвратить проникновение кого-либо.

Ограничения систем обнаружения вторжений означают, что многие организации также используют систему предотвращения вторжений (IPS) для принятия мер при возникновении подозрительных действий. Многие из этих систем включают в себя функции системы обнаружения вторжений и предоставляют более всестороннюю систему безопасности, которая полезна, когда критически важно реагировать на нарушения безопасности. Когда IPS обнаруживает подозрительные нарушения трафика или политики, он выполняет действие, настроенное в его политиках. Сотрудники информационной безопасности или системные администраторы обычно настраивают политики, которые IPS использует для ответа на каждое событие.