Ein Angrifferkennungssystem (IDS, engl. Intrusion Detection System) ist eine zusätzliche Schutzmaßnahme, die bei der Abwehr von Computerangriffen hilft, und zwar durch Überwachung des Netzwerkverkehrs, Verwendung von Signaturdatenbanken und durch heuristische Analyse. So werden verdächtige Muster des Einbrechens in ein System oder seiner Beeinträchtigung identifiziert, die einen Angriff andeuten.
IDS-Systeme können Soft- und Hardwaregeräte darstellen. IDS-Produkte dienen zur Überwachung des Anschlusses, um eventuelle Angriffe zu erkennen. Einige IDS-Systeme dienen nur der Überwachung und warnen vor einer Attacke, wobei andere versuchen, sie zu sperren. In der physischen Analogie ähnelt IDS einer Videokamera und einem Bewegungssensor - sie erkennen eine unbefugte oder verdächtige Aktivität und können Wachmänner automatisch warnen, so dass die Aktivität unterbunden wird.
Der Unterschied zwischen IDS und Firewalls besteht darin, dass die Firewall Eindringen sucht, um sie zu stoppen. Die Firewall begrenzt den Zugriff aufs Netzwerk, um das Eindringen zu vermeiden, aber signalisiert einen Angriff auf das Netzwerk von Innen nicht. IDS wertet ein vermutetes Eindringen aus und erst wenn es geschieht, signalisiert es einen Alarm. Das IDS kann auch Angriffe aufnehmen, die im System an sich entstehen.
IDS verwendet die Analyse der Verwundbarkeiten (manchmal als Scanning bezeichnet). Es handelt sich um eine Technologie, die zur Bewertung der Sicherheit eines Computersystems oder Netzwerkes dient. IDS-Funktionen umfassen Überwachung und Analyse der Aktivitäten sowohl der Benutzer als auch des Systems, Analyse der Systemkonfigurationen und ‑verwundbarkeiten, Bewerten der System- und Dateiintegrität, Analyse abnormaler Aktivitätsmuster und Verfolgung der Verletzungen der Benutzerregeln. IDS können nach einigen Kriterien klassifiziert werden: