Wykrywanie włamań polega na wykrywaniu nieautoryzowanych prób dostępu do sieci komputerowej lub fizycznego systemu komputerowego. Jego celem jest wykrywanie wszelkich zagrożeń, które mogą umożliwić dostęp do nieautoryzowanych informacji, negatywnie wpłynąć na integralność danych lub spowodować utratę dostępu w sieci. Jest to zwykle realizowane za pomocą systemu wykrywania włamań (IDS), który wykrywa, rejestruje i loguje różne informacje o innych osobach łączących się z siecią lub uzyskujących dostęp do fizycznego hosta. Systemy te mogą obejmować rozwiązania programowe, które po prostu rejestrują informacje o ruchu drogowym, do systemów fizycznych, które obejmują strażników, kamery i czujniki ruchu.
Istnieją trzy podstawowe typy wykrywania włamań, w tym metody sieciowe, hosta i fizyczne. Metody oparte na sieci próbują oznaczyć podejrzany ruch sieciowy i zazwyczaj używają programów, które rejestrują ruch i pakiety przepływające przez sieć. Metody oparte na hoście wyszukują możliwe włamania do fizycznego systemu komputerowego i sprawdzają integralność plików, identyfikują rootkity, monitorują lokalne zasady bezpieczeństwa i analizują logi. Metody fizyczne zajmują się również identyfikacją problemów związanych z bezpieczeństwem na urządzeniach fizycznych i wykorzystują fizyczne kontrole, takie jak ludzie, kamery bezpieczeństwa, zapory i czujniki ruchu. W wielu firmach z poufnymi danymi i krytycznymi systemami połączenie tych metod jest pożądane w celu uzyskania jak najlepszego bezpieczeństwa.
Systemy wykrywania włamań zwykle nie zapobiegają włamaniom; zamiast tego po prostu rejestrują zdarzenia, które mają miejsce, aby inni mogli zbierać i analizować informacje. Chociaż dotyczy to zwłaszcza metod wykrywania włamań opartych na sieci i hoście, może to nie dotyczyć niektórych metod fizycznych, takich jak zapory i personel ds. bezpieczeństwa. Zapory sieciowe często zapewniają możliwość blokowania podejrzanego ruchu i mogą dowiedzieć się, co jest dozwolone, a jakie nie. Pracownicy ochrony mogą również uniemożliwić ludziom fizyczne włamanie do firmy lub centrum danych, a monitorowane pułapki i systemy kontroli dostępu to inne fizyczne metody, które mogą uniemożliwić komuś włamanie.
Ograniczenia systemów wykrywania włamań oznaczają, że wiele organizacji korzysta również z systemu zapobiegania włamaniom (IPS) do podejmowania działań w przypadku wystąpienia podejrzanej aktywności. Wiele z tych systemów zawiera funkcje systemu wykrywania włamań i zapewnia bardziej wszechstronny system bezpieczeństwa, który jest pomocny, gdy krytyczne jest reagowanie na naruszenia bezpieczeństwa. Gdy IPS wykryje podejrzany ruch lub naruszenia zasad, podejmuje działania skonfigurowane w swoich politykach. Pracownicy ds. bezpieczeństwa informacji lub administratorzy systemów zwykle konfigurują polityki, których IPS używa do reagowania na każde zdarzenie.