Mạng thông tin có thể rất dễ bị tấn công độc hại từ giun, virus và nhiều mối đe dọa mạng khác, với các vấn đề mới thường xuyên xuất hiện trên các mặt trận này.Các cuộc tấn công như vậy có thể làm tê liệt các mạng, phá hủy dữ liệu quan trọng và ảnh hưởng xấu đến năng suất.Để ngăn chặn điều này xảy ra, các hệ thống phát hiện xâm nhập (ID) được thiết lập để bảo vệ mạng thông tin.Một hệ thống phát hiện xâm nhập hoạt động như một biện pháp bảo vệ phát hiện các cuộc tấn công trước hoặc khi chúng xảy ra, cảnh báo quản trị hệ thống và sau đó thực hiện các bước thích hợp để vô hiệu hóa các cuộc tấn công, khôi phục mạng về khả năng làm việc bình thường.Một mức độ nhất định của sự giám sát và điều tra của con người thường được yêu cầu trong các hệ thống phát hiện xâm nhập, vì ID không hoàn toàn không hoàn toàn không thể ngu ngốc.Chẳng hạn, một hệ thống phát hiện xâm nhập có thể không xác định được một số mối đe dọa mạng hoặc, trong trường hợp mạng bận rộn, có thể không thể kiểm tra tất cả lưu lượng truy cập đi qua mạng.Trong hoạt động hàng ngày của nó, hệ thống phát hiện xâm nhập theo dõi hoạt động của người dùng và lưu lượng truy cập trên mạng và theo dõi các cấu hình hệ thống và các tệp hệ thống.Nếu bất kỳ bất thường hoặc tấn công nào được phát hiện, hệ thống phát hiện xâm nhập ngay lập tức đặt ra một báo động để đưa vấn đề đến sự chú ý của quản trị viên hệ thống.Hệ thống sau đó có thể tiến hành đối phó với các mối đe dọa mạng hoặc để quản trị viên quyết định cách tốt nhất để giải quyết vấn đề.Có ba loại hệ thống phát hiện xâm nhập chính cùng nhau tạo thành một hệ thống phòng ngừa xâm nhập.Đầu tiên là phát hiện xâm nhập mạng, duy trì một thư viện các mối đe dọa mạng đã biết.Hệ thống kiểm tra trên internet và liên tục cập nhật thư viện này;Bằng cách này, hệ thống được thông báo về các mối đe dọa mạng mới nhất và có thể bảo vệ mạng tốt hơn.Lưu lượng truyền được theo dõi và kiểm tra với thư viện, và nếu có bất kỳ cuộc tấn công nào đã biết hoặc bất kỳ hành vi bất thường nào phù hợp với các hành vi trong thư viện, hệ thống sẽ tăng lên để chặn nó.hệ thống phòng ngừa.Nó kiểm tra và phân tích lưu lượng truy cập chuyển từ mạng đến một máy chủ cụ thể.Phần thứ ba là hệ thống phát hiện xâm nhập máy chủ, kiểm tra mọi thay đổi đối với hệ thống hiện tại;Nếu bất kỳ tệp nào được sửa đổi hoặc bị xóa, hệ thống phát hiện xâm nhập của máy chủ phát ra âm thanh báo động.Nó có thể vô hiệu hóa trực tiếp cuộc tấn công hoặc thiết lập một môi trường bảo mật mới, được cải thiện.