pode ir além da inspeção dos cabeçalhos IP, TCP, UDP e ICMP, podendo fazer uma inspeção profunda de pacote, o que inclui a inspeção dos dados da aplicação que o pacote carrega.

é eficiente para detecção de diversos tipos de ataques, incluindo ataques DoS, worms e vírus. Entretanto, por ser um sistema de detecção e não de prevenção, o IDS possui a desvantagem de não detectar procedimentos que antecedem um ataque, como o escaneamento de portas utilizando a ferramenta nmap.

utilizado popularmente é o Snort, um software de código aberto que também funciona como IPS. Ele utiliza assinaturas para detecção de ataques específicos. Para manter o Snort atualizado, as novas assinaturas do Snort são criadas e distribuídas aos usuários pela empresa responsável a cada nova versão (release) do software.

é baseado, dentre outros procedimentos, na conscientização do usuário, para que, em um incidente de segurança, a resposta do usuário seja imediata a fim de cessar o incidente e garantir a segurança, em seguida os procedimentos realizados devem ser reportados imediatamente à equipe de TI que tomará as medidas cabíveis.