Информационные сети могут быть очень восприимчивы к злонамеренным атакам со стороны червей, вирусов и различных других сетевых угроз, и на этих фронтах возникают новые проблемы. Такие атаки могут парализовать сети, уничтожить важные данные и негативно повлиять на производительность. Чтобы этого не происходило, системы защиты от вторжений (IDS) настроены для защиты информационных сетей.

Система обнаружения вторжений выступает в качестве средства защиты, которое обнаруживает атаки до или по мере их возникновения, предупреждает администрацию системы, а затем предпринимает соответствующие шаги для предотвращения атак, восстанавливая сеть до ее нормальной работоспособности. В системах обнаружения вторжений обычно требуется определенная степень человеческого наблюдения и расследования, поскольку IDS не является полностью надежной. Система обнаружения вторжений может, например, не распознавать некоторые сетевые угрозы или, в случае загруженных сетей, может не иметь возможности проверять весь трафик, проходящий через сеть.

В своей повседневной работе система обнаружения вторжений контролирует активность пользователей и трафик в сети и следит за конфигурациями системы и системными файлами. При обнаружении каких-либо отклонений или атак система обнаружения вторжений немедленно устанавливает сигнал тревоги, чтобы довести этот вопрос до сведения системного администратора. Затем система может продолжить работу с сетевыми угрозами или позволить администратору выбрать наилучший способ решения проблемы.

Существует три основных типа систем обнаружения вторжений, которые вместе образуют систему предотвращения вторжений. Первый - это обнаружение вторжения в сеть, в котором хранится библиотека известных сетевых угроз. Система проверяет весь интернет и постоянно обновляет эту библиотеку; Таким образом, система получает информацию о последних сетевых угрозах и способна лучше защитить сеть. Проходящий трафик отслеживается и проверяется библиотекой, и, если какая-либо известная атака или какое-либо ненормальное поведение совпадают с теми, которые есть в библиотеке, система готовится заблокировать ее.

Обнаружение вторжения сетевого узла является второй частью системы предотвращения вторжений. Он проверяет и анализирует трафик, который проходит из сети на конкретный хост. Третья часть - это система обнаружения вторжений хоста, которая проверяет любые изменения в текущей системе; если какие-либо файлы изменены или удалены, система обнаружения вторжений хоста подает сигнал тревоги. Он может либо напрямую отключить атаку, либо создать новую, улучшенную среду безопасности.