Trong điện toán, Hệ thống phát hiện xâm nhập mạng (NIDS) là một thiết bị bảo mật mạng đặc biệt theo dõi lưu lượng mạng đến.Phần mềm này đọc các gói tin nhắn được gửi qua mạng và xác định xem chúng là độc hại hay có hại.Nhiều công ty và các tổ chức khác cần các hệ thống này để giữ an toàn cho mạng máy tính của họ. Hệ thống phát hiện xâm nhập mạng thường được coi là tuyến phòng thủ đầu tiên cho mạng máy tính.Hệ thống này có thể lọc lưu lượng mạng đến dựa trên các quy tắc đe dọa an ninh mạng được xác định trước.NIDS có thể theo dõi một mạng lưới cho nhiều loại mối đe dọa mạng.Chúng bao gồm từ chối các cuộc tấn công dịch vụ, virus, giun và thư rác có hại. Hầu hết các hệ thống phát hiện xâm nhập theo dõi lưu lượng mạng trong và ngoài nước của các công ty.Phần mềm bảo mật này đọc các gói tin nhắn được truyền đi khắp công ty, tìm kiếm hoạt động độc hại.Khi một tin nhắn đáng ngờ được phát hiện, nó thường được ghi lại và chặn khỏi mạng.Một hệ thống phát hiện xâm nhập mạng cũng có thể học dựa trên các mối đe dọa mà nó phát hiện ra.Khi các thông điệp bị chặn khỏi mạng, chúng được thêm vào cây phản hồi của các mối đe dọa tiềm năng trong tương lai.Điều này đảm bảo virus mới được thêm nhanh vào hệ thống phát hiện, do đó chặn hoạt động độc hại. Một hệ thống phát hiện xâm nhập mạng dựa trên giao thức là một hình thức phát hiện đặc biệt tìm kiếm các loại tin nhắn cụ thể dựa trên giao thức.Phần mềm bảo mật này tìm kiếm các thông điệp dựa trên giao thức tại chỗ.Một số ví dụ về các giao thức được xem xét bao gồm Giao thức chuyển siêu văn bản (HTTP), An toàn giao thức chuyển siêu văn bản (HTTPS) và Giao thức chuyển thư đơn giản (SMTP). Một số phần mềm bảo mật có thể lọc hoạt động độc hại dựa trên các địa chỉ IP cụ thể.Loại hệ thống phát hiện xâm nhập mạng này được coi là một công cụ kém tinh vi hơn vì nhiều tin tặc bảo mật mạng giả mạo địa chỉ IP trong nỗ lực ẩn từ phần mềm bảo mật.Lọc địa chỉ IP tương tự như sổ đăng ký không gọi.Hệ thống tìm kiếm các yêu cầu từ các địa chỉ IP cụ thể và từ chối truy cập vào mạng khi tìm thấy địa chỉ đáng ngờ.Một công tắc bỏ qua thường được bao gồm trong một hệ thống phát hiện xâm nhập.Công tắc này là một thiết bị phần cứng cung cấp một cổng để giám sát phần mềm để xem xét các gói trên mạng.Công tắc bỏ qua nằm trên điểm nhập của mạng để đảm bảo lọc tin nhắn độc hại xảy ra. Nhiều hệ thống phát hiện xâm nhập tinh vi có thể theo dõi và bẫy tội phạm mạng.Các hệ thống này đặt báo động nội bộ và cung cấp một phương pháp bẫy và ghi nhật ký hoạt động độc hại.Bằng cách giám sát các thiết bị theo cách này, các chuyên gia bảo mật có thể xác định vị trí và đóng cửa các tin tặc mạng.