Sieci informacyjne mogą być bardzo podatne na złośliwe ataki ze strony robaków, wirusów i różnych innych zagrożeń sieciowych, z regularnymi nowymi problemami pojawiającymi się na tych frontach.Takie ataki mogą sparaliżować sieci, niszczyć ważne dane i negatywnie wpływać na wydajność.Aby temu zapobiec, ustawiane są systemy wykrywania włamań (IDS) w celu ochrony sieci informacyjnych.

System wykrywania włamań działa jako zabezpieczenie, które wykrywa ataki przed lub jak się zdarza, ostrzega administrację systemu, a następnie podejmuje odpowiednie kroki w celu wyłączenia ataków, przywracając sieć do normalnej zdolności pracy.Pewny stopień nadzoru i badań jest zwykle wymagany w systemach wykrywania włamań, ponieważ IDS nie jest całkowicie niezawodny.System wykrywania włamań może na przykład nie zidentyfikować niektórych zagrożeń sieciowych lub, w przypadku zajętych sieci, może nie być w stanie sprawdzić całego ruchu przechodzącego przez sieć.

W codziennej pracy system wykrywania włamań monitoruje aktywność użytkownika i ruch w sieci oraz obserwuje konfiguracje systemu i pliki systemu.Jeśli wykryto jakiekolwiek nieprawidłowości lub ataki, system wykrywania włamań natychmiast konfiguruje alarm, aby zwrócić uwagę administratora systemu.System może następnie przejść do radzenia sobie z zagrożeniami sieciowymi lub pozwolić administratorowi zdecydować o najlepszym sposobie rozwiązania problemu.

Istnieją trzy główne rodzaje systemów wykrywania włamań, które razem tworzą system zapobiegania włamaniu.Pierwszym z nich jest wykrywanie wtargnięcia sieci, która utrzymuje bibliotekę znanych zagrożeń sieciowych.System sprawdza Internet i stale aktualizuje tę bibliotekę;W ten sposób system jest informowany o najnowszych zagrożeniach sieciowych i jest w stanie lepiej chronić sieć.Przechodzący ruch jest monitorowany i sprawdzany w bibliotece, a jeśli jakikolwiek znany atak lub jakiekolwiek nieprawidłowe zachowanie pasuje do tych w bibliotece, system przebiega, aby go zablokować.

Wykrywanie wtargnięcia węzłów sieciSystem zapobiegania.Sprawdza i analizuje ruch, który przechodzi z sieci do określonego hosta.Trzecia część to system wykrywania włamań do hosta, który sprawdza wszelkie zmiany w bieżącym systemie;Jeśli jakieś pliki są modyfikowane lub usunięte, system wykrywania włamań hosta brzmi alarm.Może albo bezpośrednio wyłączyć atak lub ustawić nowe, ulepszone środowisko bezpieczeństwa.