Rosnąca liczba i różnorodność zagrożeń oraz incydentów bezpieczeństwa informacji sprawia, że konieczne jest stosowanie systemów pozwalających na bieżące wykrywanie zdarzeń, które mogą wiązać się z naruszeniem bezpieczeństwa oraz umożliwiających podjęcie właściwej reakcji na wykryte zdarzenia.

Obecnie wyróżniamy dwa podstawowe rodzaje tego typu systemów:

• Systemy wykrywania włamań (IDS)
• Systemy zapobiegania włamaniom (IPS)

Zadaniem obu wymienionych systemów jest identyfikacja zdarzeń mogących stanowić zagrożenie dla systemów informatycznych organizacji. Identyfikacja zdarzeń może być wykonywana na podstawie zdefiniowanych wzorców i wykrywania anomalii na bazie analizy statystycznej. W przypadku wykrycia podejrzanego zdarzenia, w zależności od rodzaju systemu (IDS czy IPS), trybu pracy oraz zdefiniowanej reakcji, podejmowane są właściwe działania (np. alarmowanie, powiadamianie lub zablokowanie połączenia). W przypadku systemów IPS, które są zdecydowanie bardziej dojrzałą technologią niż IDS, co do zasady powinny one działać w trybie in-line, umożliwiając im analizę ruchu w obu kierunkach, śledzenia stanu połączeń oraz podejmowania działań blokowania zagrożeń w czasie rzeczywistym.

Wdrożenie systemu zapobiegania włamaniom (IPS) w organizacji, przy prawidłowym rozmieszczeniu elementów systemu i jego poprawnej konfiguracji może wspierać ochronę sieci i systemów informatycznych organizacji przed atakami intruzów.