Un HIDS fonctionne généralement en effectuant des échantillonnages périodiques des fichiers critiques du système d'exploitation et en comparant ces échantillonnages au fil du temps.
Si le HIDS remarque un changement, tel que la modification de fichiers journaux ou de configurations, il alerte l'équipe de sécurité.
Les IDS sont des outils de détection et de surveillance qui n'engagent pas d'action de leur propre fait.
Les IPS constituent un système de contrôle qui accepte ou rejette un paquet en fonction d'un ensemble de règles.
Un système de détection d'intrusion (IDS) est chargé d'identifier les attaques et les techniques et est souvent déployé hors bande en mode écoute seule afin qu'il puisse analyser tout le trafic et générer des événements d'intrusion à partir de trafic suspect ou malveillant.