Los sistemas de detección de intrusos basados en red son aplicaciones que, conectadas a la red a través de adaptadores en modo promiscuo, observan todo el tráfico de paquetes, detectando anomalías que puedan ser indicadoras de una intrusión. Funcionan de forma muy similar a como lo hacen los sniffers. Examinan cada paquete, comprobando su contenido con una plantilla o base de datos de firmas de ataques, con el fin de detectar si el paquete examinado corresponde con algún tipo de ataque.

Las ventajas de los NIDS son:

• Se instalan en segmentos de red, por lo que con un sólo NIDS puede detectar ataques en todos los equipos conectados a dicho segmento, a diferencia de los HIDS, que exigen tener que instalar uno en cada equipo.

• Resultan independientes de la plataforma utilizada por los distintos equipos de la red.

• Al examinar de forma abstracta los paquetes de tráfico que circulan por la red son capaces de detectar ataques basados en manipulación de cabeceras IP o ataques de denegación de servicio que serían capaces de bloquear un servidor.

• En cierta forma pueden comportarse como si fueran invisibles para los atacantes, a diferencia de los HIDS, que siempre dejan su propia huella en el sistema en el que se ha instalado.

Sus desventajas son:

• Resultan totalmente ineficaces en sistemas con tráfico cifrado.

• Su funcionamiento se vuelve imposible en entornos de red basados en computadores de alta velocidad, ya que suelen alcanzar velocidades de Gbps, impidiendo al NIDS analizar todos los paquetes a tiempo, aunque los últimos productos salidos al mercado empiezan a responder bien incluso a esas velocidades.

• Si se produce una congestión momentánea de la red, el NIDS podría empezar a perder paquetes.

• Debido a que operan en entornos heterogéneos (Windows, Linux, Sun, etc.) podrían no ser capaces de definir la relevancia de un ataque en cada plataforma.