Si tratta di hardware o software in grado di rilevare accessi non autorizzati a dispositivi (computer) o reti locali, quindi rilevare potenziali attacchi informatici. Diciamo così, un sistema IDS funziona da "scanner" quindi a differenza di un firewall che blocca l'azione (pacchetto scambiato tramite la rete) qui viene semplicemente generata una notifica di allarme, quindi agisce in modo passivo (generalmente è così, entro certi limiti esistono comunque anche IDS di tipo "attivo" e non "passivo"). Tuttavia all'interno del livello locale (se in qualche modo l'attacco riesce ad avvenire entro il livello locale), per il tipo di funzionamento, il firewall non rileva minaccia mentre l'IDS analizza la rete e quindi può scoprire l'anomalia.
Un interessante confronto si può fare tra: firewall, IPS, IDS:
- firewall: Firewall is a network security device that filters incoming and outgoing network traffic based on predetermined rules
- IPS (Intrusion Prevention System): IPS is a device that inspects traffic, detects it, classifies and then proactively stops malicious traffic from attack
- IDS (Intrusion Detection System): An intrusion detection system (IDS) is a device or software application that monitors a traffic for malicious activity or policy violations and sends alert on detection
I dettagli specifici di funzionamento di ognuno di questi sistemi, li trovi ben illustrati qui: ipwithease.com