Un sistema de detección de intrusiones (IDS) es una herramienta de seguridad de red que ofrece protección adicional ayudando a prevenir intrusiones en ordenadores , mediante la supervisión del tráfico de la red. Trabajan en base a firmas y al uso de análisis heurístico para identificar patrones sospechosos que podrían indicar un ataque a un sistema o red.
Los sistemas IDS pueden ser dispositivos de software o hardware utilizados para detectar un ataque. Son utilizados para controlar la conexión y así determinar si se han lanzado ataques. Algunos sistemas IDS solo monitorizan y dan la alerta de un ataque, mientras que otros tratan de bloquearlo. En la analogía en el mundo tangible, un IDS es equivalente a una cámara de vídeo y un sensor de movimiento; pueden detectar actividad no autorizada o sospechosa y trabajan con sistemas automatizados de respuesta, tales como guardias de vigilancia, para detener la actividad.
Un IDS difiere de un cortafuegos en que estos últimos limitan el acceso entre redes con el fin de evitar la entrada y no señalizan los ataques desde el interior de la red . El IDS evalúa una acción sospechosa de intrusión una vez que ha tenido lugar y establece una alarma . Por otra parte, el IDS observan los ataques que se originan desde el interior de una red.
Los IDS realizan una evaluación de vulnerabilidades (a veces se denomina exploración), que es una tecnología desarrollada para evaluar la seguridad de un sistema informático o red. Las funciones de detección de intrusos incluyen la supervisión y el análisis de actividades tanto del usuario como del sistema, análisis y posibles vulnerabilidades de las configuraciones del sistema, evaluación del sistema e integridad de ficheros, análisis de los patrones de actividad anormales y seguimiento de violaciones a las políticas de usuario . Hay varias formas de clasificar un IDS