Ein Intrusion Detection System (IDS) ist ein Überwachungssystem, welches vor Angriffen von aussen schützt. Das IDS wird beispielsweise softwaremässig bei Firewalls verwendet. Das System überwacht die Ports und alle Einfallstore, Prozesse,  die Registry und den ein- und ausgehenden Traffic (Datenverkehr). Weiterhin wird das interne Netzwerk (LAN, Intranet) überwacht.  Die Arbeitsweise basiert auf einer Mustererkennung. Sämtlicher zu überwachender Datenverkehr wird mit einer Musterdatenbank abgeglichen. Bei Firewalls kann man grundsätzlich unverdächtigen Datenverkehr standardmässig erlauben. Der Administrator oder  User muss fallweise eine Verbindung erlauben oder verbieten. Das IDS benutzt Filter und Signaturen um den Traffic zu bewerten. Auch heuristische Methoden werden angewendet. Dies hat den Vorteil, dass man nicht auf gespeicherte Daten angewiesen ist und  auch neue Trafficmuster bewerten kann. Probleme können auftreten, wenn erwünschter Traffic irrtümlicherweise unterbunden wird bzw. falsche Warnungen ausgegeben werden (false postivies)  oder die Sicherheit gefährdender Traffic irrtümlicherweise zugelassen wird (false negatives). Ein Intrusion Prevention System (IPS) gibt nicht nur Warnungen aus, sondern ist auch in der Lage, durch entsprechende  Funktionen auf Situationen zu reagieren.