Tietoverkot voivat olla erittäin alttiita matojen, virusten ja muiden verkkouhkien aiheuttamille haitallisille hyökkäyksille, ja näillä rintamilla esiintyy säännöllisesti uusia ongelmia. Tällaiset hyökkäykset voivat halvauttaa verkkoja, tuhota tärkeitä tietoja ja vaikuttaa haitallisesti tuottavuuteen. Tämän estämiseksi tunkeutumisen havaitsemisjärjestelmät (IDS) on perustettu suojaamaan tietoverkkoja.
Tunkeutumisen havaitsemisjärjestelmä toimii suojana, joka havaitsee hyökkäykset ennen tai niiden sattuessa, hälyttää järjestelmänvalvonnasta ja ryhtyy sitten tarvittaviin toimiin hyökkäysten poistamiseksi käytöstä ja palauttaa verkon normaaliin toimintakykyyn. Tunkeutumisen havaitsemisjärjestelmissä vaaditaan yleensä tiettyä ihmisen valvontaa ja tutkimusta, koska IDS ei ole täysin idioottivarma. Tunkeutumisen havaitsemisjärjestelmä ei esimerkiksi pysty tunnistamaan joitain verkkouhkia tai, jos verkko on kiireinen, se ei ehkä pysty tarkistamaan kaikkea verkon kautta kulkevaa liikennettä.
Päivittäisessä toiminnassaan tunkeutumisen havaitsemisjärjestelmä valvoo käyttäjien toimintaa ja liikennettä verkossa ja seuraa järjestelmän kokoonpanoja ja järjestelmätiedostoja. Jos havaitaan poikkeavuuksia tai hyökkäyksiä, tunkeutumisen havaitsemisjärjestelmä asettaa välittömästi hälytyksen, joka saattaa asian järjestelmänvalvojan tietoon. Järjestelmä voi sitten käsitellä verkkouhkia tai antaa järjestelmänvalvojan päättää parhaasta tavasta ratkaista ongelma.
Tunkeutumisen havaitsemisjärjestelmiä on kolme päätyyppiä, jotka yhdessä muodostavat tunkeutumisenestojärjestelmän. Ensimmäinen on verkon tunkeutumisen havaitseminen, joka ylläpitää kirjastoa tunnetuista verkkouhista. Järjestelmä tarkistaa Internetin ja päivittää jatkuvasti tätä kirjastoa; Näin järjestelmä pysyy ajan tasalla uusimmista verkkouhkista ja pystyy suojaamaan verkkoa paremmin. Ohikulkuliikennettä seurataan ja tarkistetaan kirjastolla, ja jos jokin tunnettu hyökkäys tai epänormaali käyttäytyminen vastaa kirjastossa olevia, järjestelmä valmistautuu estämään sen.
Verkkosolmun tunkeutumisen havaitseminen on tunkeutumisenestojärjestelmän toinen osa. Se tarkistaa ja analysoi liikenteen, joka kulkee verkosta tietylle isännälle. Kolmas osa on isännän tunkeutumisen havaitsemisjärjestelmä, joka tarkistaa mahdolliset muutokset nykyiseen järjestelmään. jos tiedostoja muutetaan tai poistetaan, isännän tunkeutumisen havaitsemisjärjestelmä antaa hälytyksen. Se voi joko poistaa hyökkäyksen suoraan käytöstä tai luoda uuden, parannetun turvallisuusympäristön.