Сетевые IDS предназначены для слежения за трафиком и выявления «подозрительных» фрагментов. Фрагмент определяется как «подозрительный» или «тревожный», если удовлетворяет параметрам встроенного или предопределенного пользователем шаблона. Таким образом, IDS представляет собой датчик, показания которого проверяются на соответствие шаблонам из базы данных.
При нахождении такого соответствия система выполняет процедуры по установленной схеме: протоколирование, сигнализация, разрыв соединения, обновление правил межсетевого экрана и т. п. Многие IDS допускают использование внешних процедур, например запуск программы или скрипта, написанного администратором. Необходимо упомянуть о нескольких проблемах, связанных с использованием сетевых IDS. Большинство IDS нечувствительны к шифрованным соединениям, так как неспособны расшифровывать трафик «на лету». Кроме того, есть сложности и с фрагментацией пакетов, когда IDS не может собрать логический пакет для сравнения его с шаблоном из базы данных. Это может быть опасно в случае проведения атаки с использованием пакетной фрагментации.
Еще одна проблема связана с использованием сетевой IDS в коммутируемых сетях. Коммутатор (switch) распределяет трафик между несколькими портами, на одном из которых расположен интерфейс IDS. В этом случае IDS сможет контролировать только те потоки, которые направлены на этот порт. Администраторы решают эту задачу, устанавливая зеркальный порт, принимающий потоки с нескольких или со всех интерфейсов коммутатора. Однако при этом сильно возрастает нагрузка на этот зеркальный порт, что может отразиться и на качестве работы IDS, которая начнет игнорировать отдельные пакеты из-за недостаточной пропускной способности.
