Los sistemas de detección de intrusos permiten detectar actividad inadecuada, incorrecta o anómala dentro de un sistema informático integrado por un gran número de host (ordenadores, routers, servidores, etc.) interconectados en red. Por lo tanto, en su sentido más amplio, un buen IDS será capaz de detectar las acciones de atacantes externos (intrusiones propiamente dichas), así como la actividad anormal de los atacantes internos dentro de la red.

Ahora bien ¿qué se entiende por actividad anómala? O dicho con otras palabras, ¿qué es lo que se considera como una intrusión? Aunque la definición de intrusión puede variar en función del IDS utilizado, en general se consideran intrusiones las siguientes actividades:

• Reconocimiento. Los intrusos suelen explorar una red antes de intentar atacarla utilizando técnicas como barridos de con el comando ping, exploración de puertos TCP y UDP, identificación del SO, intentos de inicio de sesión, etc. Mientras que un cortafuegos puede limitarse a bloquear esos sondeos, el IDS hará saltar una alarma.

• Explotación. Una vez que la fase de reconocimiento ha permitido identificar con exactitud el objetivo a atacar, el intruso pasará a ensayar agujeros del sistema (p.e. fallos en los servidores web, en los navegadores de los usuarios, enmascaramiento de IP, desbordamientos de búffer, ataques DNS). Muchos de estos ataques pasarán completamente desapercibidos en el cortafuegos, mientras que un buen IDS alertará de ellos.

• Denegación de servicio. Se trata de un ataque capaz de dejar sin servicio a la máquina víctima. Normalmente se utilizan técnicas como el ping de la muerte, inundación SYN, Land, WinNuke, smurtf, ataques distribuidos, etc. Algunos IDS podrán detectarlos antes de que los servidores bajo ataque dejen de funcionar.