Les IDS sont des outils de détection et de surveillance qui n'engagent pas d'action de leur propre fait.
Les IPS constituent un système de contrôle qui accepte ou rejette un paquet en fonction d'un ensemble de règles.
Il existe deux grandes catégories d'IDS, les plus connues sont les détections par signatures (reconnaissance de programme malveillant) et les détections par anomalies (détecter les écarts par rapport à un modèle représentant les bons comportements, cela est souvent associé a de l'apprentissage automatique).
Un HIDS fonctionne généralement en effectuant des échantillonnages périodiques des fichiers critiques du système d'exploitation et en comparant ces échantillonnages au fil du temps.
Si le HIDS remarque un changement, tel que la modification de fichiers journaux ou de configurations, il alerte l'équipe de sécurité.