Das Intrusion Detection System oder IDS spielt eine besondere Rolle im Bereich der Computer-Sicherheit. Anstatt EDV-Geräte aktiv zu schützen, funktioniert es passiv und zeichnet Netzaktivitäten auf, um erst dann einen Alarm auszulösen, wenn eine verdächtige Kommunikation bemerkt wird. Diese Erkennung kann nach den im Folgenden beschriebenen Ansätzen durchgeführt werden. Allerdings kann die Komplexität der Netzwerkkommunikation viele Fehlalarme, die auch "false positives" genannt werden, seitens des IDS auslösen. Es besteht daher ein Bedarf an Nachbearbeitung der Logs, um echte von falschen Angriffen unterscheiden zu können, was sehr langwierig sein kann. Allerdings können die IDS ein sehr nützliches Werkzeug sein, um Risiken (Bedrohungen und Schwachstellen), welchen die Informationssysteme unterliegen, zu identifizieren. Die Positionierung des IDS im Netzwerk ist ein entscheidendes Kriterium für die Effizienz der gesammelten Daten. Idealerweise wird es an den Übergängen zwischen zwei Netzwerken positioniert, so wie dies auch bei Firewalls der Fall ist.

Die Intrusion Prevention Systeme oder IPS wurden entwickelt, um die beiden größten Nachteile von IDS, nämlich die Passivität und die Erzeugung von Fehlalarmen, zu überwinden. Ein IPS dient nicht nur dazu, verdächtiges Verhalten zu erkennen, sondern auch, dieses zu stoppen. Die Identifizierung erfolgt gleichermaßen wie bei den IDS und erzeugt auch false positives. Ein IPS verfügt jedoch über einen Satz von Regeln, die ihm helfen, die richtige Entscheidung zu treffen: eine Netzwerkkommunikation blockieren oder zulassen oder die Intervention eines Menschen verlangen, etwa so wie bei der Firewall. Wiederum müssen die IPS, um wirksam sein zu können, zwischen den Netzwerken positioniert werden.