سامانه تشخیص نفوذ در شبکه، جهت مانیتور و تحلیل ترافیک شبکه در راستای حفاظت از تهدیدهای شبکه ای مورد استفاده قرار می گیرد. این سامانه برای یافتن فعالیت های مخرب نظیر حملات رد خدمت، حملاتی که ترافیک شبکه را مانیتور می کنند و حملات پویش درگاه تلاش می کند. به صورت کلی دو راه کار برای کشف نفوذ در شبکه مورد استفاده قرار می گیرد:
الف- تشخیص ناهنجاری: زمانی که رفتار مشاهده شده کاربر، از یک رفتار مورد انتظار پیروی نکند. در شبکه تشخیص ناهنجاری، فعالیت های نرمال سامانه مانند پهنای باند شبکه، درگاه ها، قوانین و ارتباط دستگاه ها مورد بررسی قرار می گیرد. کشف نفوذ ناهنجاری، به چند دلیل یک مساله مشکل است. اول این که کاربرد سامانه و رفتار کاربر دائم تکامل می یابند، لذا کشف کننده نفوذ نیز باید تکامل یابد. بدون اجازه برای چنین تغییراتی در رفتار، به زودی مدیر شبکه در هشدارهای نادرست غوطه ور شده و اطمینان خود به سامانه را به سرعت از دست خواهد داد. دومین عامل مهم در رابطه با تشخیص ناهنجاری این است که یک هشدار رفتار غیرنرمال، ممکن است هیچ اطلاعات خاص مفیدی را برای مدیر شبکه فراهم نکند. هشداری مبهم مبنی بر اینکه سامانه ممکن است تحت حمله باشد اتخاذ اقدام محکم و سنجیده را مشکل می کند. همچنین گاهی ممکن است حمله ای شناخته شده، توسط تشخیص ناهنجاری پیدا نشود. این یکی مشکل اساسی است.
ب- تشخیص مبتنی بر امضا: زمانی است که رفتار مشاهده شده یک تعمد برای سوء استفاده از منابع کامپیوتری شبکه را نشان دهد. مزایای تشخیص مبتنی بر امضا شامل سادگی، کارایی است و نیز یک قابلیت فوق العاده برای یافتن حملات شناخته شده است. فایده مهم دیگر آن این است که هشداری که منتشر می شود ویژه است زیرا امضا، یک الگوی حمله خاص را تطبیق می دهد. با یک هشدار ویژه، مدیر شبکه می تواند به سرعت مشخص کند که حمله مشکوک، واقعی است یا یک هشدار نادرست است. اگر واقعی شناسایی شد، مدیر شبکه می تواند پاسخ مناسبی را اتخاذ نماید. از دیگر مزایای این رویکرد، قابلیت تولید نتیجه دقیق و کاهش هشدارهای نادرست است. با این وجود، از معایب سامانه تشخیص مبتنی بر امضا این است که فایل امضا باید به روزرسانی گردد. همچنین، با زیاد شدن تعداد امضاها کارایی سامانه کاهش می یابد. از همه مهمتر اینکه، سیستم تنها توانایی کشف حملات شناخته شده را خواهد داشت. کوچکترین تغیر در حملات شناخته شده، باعث از دست داد احتمالی تشخیص حمله به وسیله سامانه می شود.