Intrusion Detection System (IDS) sind autarke Systeme, die Eindringlinge erkennen und Attacken auf IT-Systeme und Netze vermeiden. Diese IDS-Überwachungssysteme sollten nicht bekannt sein, keine Dienste anbieten, Angriffe protokollieren, Eindringlinge erkennen und nach Möglichkeit Gegenmaßnahmen einleiten. Alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden. Dazu benutzen IDS-Verfahren Sensoren, die anormalen Datenverkehr aufspüren und mit vorgegebenen Mustern vergleichen. Dabei unterscheidet man zwischen dem Misuse Detection und dem Anomaly Detection. Das Misuse Detection basiert auf dem Vergleich von Mustern oder Signaturen. Dazu werden die erfassten Muster gegen andere Muster, die vorwiegend von den Eindringlinge benutzt werden, abgeglichen. Bei dieser Methode werden nur bereits bekannte Angriffsmuster erkannt. Neue Angriffe, von denen noch kein Muster vorliegt, bleiben unerkannt.

Beim Anomaly Detection wird hingegen jedes Verhaltensmuster, das sich außerhalb des normalen Datenverkehrs bewegt, als Angriff gewertet. Dadurch werden auch Abweichungen von bisherigen Angriffen erkannt. Eine Pflege der Angriffsmuster in einer Datenbank entfällt. Allerdings muss beim Anomaly Detection definiert werden, welches Muster zum normalen Datenverkehr gehört, wodurch sich die Schwelle für Fehlalarme erhöhen kann.

Die beiden Verfahren verdeutlichen die Entwicklung vom IDS-Systeme hin zu Intrusion Prevention Systems (IPS), die bestimmte Datenpakete erst gar nicht passieren lassen.

Für die IDS-Technologie gibt es auch netzwerkbasierte Lösungen, NIDS und hostbasierte, HIDS.