La detección de intrusiones trata de notar intentos no autorizados de acceder a una red informática o sistema informático físico. Su propósito es detectar cualquier amenaza que pueda permitir el acceso a información no autorizada, afectar negativamente la integridad de los datos o provocar una pérdida de acceso dentro de una red. Por lo general, se implementa mediante el uso de un sistema de detección de intrusos (IDS) que detecta, registra y registra información diversa sobre otros que se conectan a la red o acceden a un host físico. Estos sistemas pueden abarcar desde soluciones de software que simplemente registran la información de tráfico hasta sistemas físicos que incluyen guardias de seguridad, cámaras y sensores de movimiento.

Existen tres tipos principales de detección de intrusos, incluidos los métodos físicos y basados ​​en la red, basados ​​en el host. Los métodos basados ​​en la red intentan marcar el tráfico sospechoso de la red y generalmente usan programas que registran el tráfico y los paquetes que fluyen a través de una red. Los métodos basados ​​en host buscan posibles intrusiones en un sistema informático físico y comprueban la integridad de los archivos, identifican los rootkits, supervisan las políticas de seguridad locales y analizan los registros. Los métodos físicos también se ocupan de identificar problemas de seguridad en dispositivos físicos y utilizan controles físicos, como personas, cámaras de seguridad, firewalls y sensores de movimiento. En muchos negocios con datos confidenciales y sistemas críticos, es deseable una combinación de estos métodos para la mejor seguridad posible.

Los sistemas de detección de intrusiones generalmente no evitan que ocurran intrusiones; en cambio, simplemente registran los eventos que ocurren para que otros puedan recopilar y analizar la información. Aunque esto es especialmente cierto para los métodos de detección de intrusos basados ​​en la red y en el host, esto puede no ser cierto para algunos métodos físicos, como los firewalls y el personal de seguridad. Los cortafuegos a menudo brindan la capacidad de bloquear el tráfico sospechoso y pueden aprender qué es y qué no tiene acceso. El personal de seguridad también puede evitar que las personas entren físicamente en una empresa o centro de datos, y las trampas monitoreadas y los sistemas de control de acceso son otros métodos físicos que pueden evitar que alguien ingrese.

Las limitaciones de los sistemas de detección de intrusiones significan que muchas organizaciones también usan un sistema de prevención de intrusiones (IPS) para tomar medidas cuando ocurre una actividad sospechosa. Muchos de estos sistemas incluyen las funciones de un sistema de detección de intrusos y proporcionan un sistema de seguridad más completo que es útil cuando es crítico responder a las brechas de seguridad. Cuando el IPS detecta tráfico sospechoso o infracciones de políticas, toma la acción configurada en sus políticas. Los empleados de seguridad de la información o los administradores del sistema generalmente configuran las políticas que utiliza el IPS para responder a cada evento.