Il existe deux grandes catégories d'IDS, les plus connues sont les détections par signatures (reconnaissance de programme malveillant) et les détections par anomalies (détecter les écarts par rapport à un modèle représentant les bons comportements, cela est souvent associé a de l'apprentissage automatique).
Les systèmes de détection d'intrusion (IDS) et de prévention d'intrusion (IPS) surveillent votre réseau en permanence afin d'identifier les incidents potentiels.
Ils consignent les informations afférentes dans des journaux, résolvent les incidents et les signalent aux administrateurs chargés de la sécurité.
Les systèmes d'IDS comparent l'activité réseau en cours avec une base de données d'attaques connues afin de détecter divers types de comportements tels que les violations de la politique de sécurité, les malwares et les scanners de port.