Intrusion Detection Systems (IDS’en) monitoren passief het verkeer op het netwerk. Stand-alone IDS-systemen zijn grotendeels verdwenen ten gunste van Intrusion Prevention Systems (IPS’s). Maar de detectiefunctie van een IDS maakt nog steeds deel uit van elke IPS-implementatie. De afbeelding laat zien dat een apparaat met IDS de verkeersstroom kopieert en het gekopieerde verkeer analyseert in plaats van de werkelijk doorgestuurde pakketten. Het werkt offline en vergelijkt de vastgelegde verkeersstroom met bekende kwaadaardige handtekeningen, vergelijkbaar met software die op virussen controleert.
Een IPS bouwt voort op IDS-technologie. Een IPS-apparaat wordt echter geïmplementeerd in de inline-mode. Dit betekent dat al het inkomende en uitgaande verkeer er voor verwerking doorheen moet stromen. Zoals te zien is in de volgende afbeelding, staat een IPS niet toe dat packets het doelsysteem binnenkomen zonder eerst te zijn geanalyseerd.
Het grootste verschil tussen IDS en IPS is dat een IPS onmiddellijk reageert en geen kwaadaardig verkeer doorlaat, terwijl een IDS kwaadaardig verkeer doorlaat voordat het wordt geadresseerd. Een slecht geconfigureerde IPS kan echter een negatieve invloed hebben op de verkeersstroom in het netwerk.
