Jaringan informasi dapat sangat rentan terhadap serangan berbahaya dari worm, virus, dan berbagai ancaman jaringan lainnya, dengan masalah baru yang sering muncul di bidang ini. Serangan tersebut dapat melumpuhkan jaringan, menghancurkan data penting dan mempengaruhi produktivitas. Untuk mencegah hal ini terjadi, sistem deteksi intrusi (IDS) diatur untuk melindungi jaringan informasi.
Sistem deteksi intrusi bertindak sebagai perlindungan yang mendeteksi serangan sebelum atau saat terjadi, memperingatkan administrasi sistem dan kemudian mengambil langkah yang tepat untuk menonaktifkan serangan, memulihkan jaringan ke kapasitas kerja normalnya. Tingkat pengawasan dan investigasi manusia tertentu biasanya diperlukan dalam sistem deteksi penyusupan, karena IDS tidak sepenuhnya aman. Sistem deteksi intrusi mungkin, misalnya, gagal mengidentifikasi beberapa ancaman jaringan atau, dalam kasus jaringan yang sibuk, mungkin tidak dapat memeriksa semua lalu lintas yang melewati jaringan.
Dalam operasinya sehari-hari, sistem deteksi intrusi memonitor aktivitas pengguna dan lalu lintas di jaringan, dan mengawasi konfigurasi sistem dan file sistem. Jika ada kelainan atau serangan yang terdeteksi, sistem pendeteksi penyusupan segera memasang alarm untuk memberitahukan masalah tersebut kepada administrator sistem. Sistem kemudian dapat melanjutkan untuk menangani ancaman jaringan, atau membiarkan administrator memutuskan cara terbaik untuk mengatasi masalah tersebut.
Ada tiga jenis utama sistem deteksi intrusi yang bersama-sama membentuk sistem pencegahan intrusi. Yang pertama adalah deteksi intrusi jaringan, yang memelihara perpustakaan ancaman jaringan yang diketahui. Sistem memeriksa di Internet dan terus memperbarui perpustakaan ini; dengan cara ini sistem tetap mendapat informasi tentang ancaman jaringan terbaru dan mampu melindungi jaringan dengan lebih baik. Lalu lintas yang lewat dipantau dan diperiksa dengan perpustakaan, dan jika ada serangan yang diketahui atau perilaku abnormal apa pun yang cocok dengan yang ada di perpustakaan, sistem bersiap untuk memblokirnya.
Deteksi intrusi node jaringan adalah bagian kedua dari sistem pencegahan intrusi. Ini memeriksa dan menganalisis lalu lintas yang lewat dari jaringan ke host tertentu. Bagian ketiga adalah sistem deteksi intrusi host, yang memeriksa setiap perubahan pada sistem saat ini; jika ada file yang dimodifikasi atau dihapus, sistem deteksi penyusupan host akan membunyikan alarm. Ini dapat secara langsung menonaktifkan serangan atau menyiapkan lingkungan keamanan baru yang ditingkatkan.