入侵檢測系統(IDS)是一種網路安全裝置或應用軟體，可以監控網路傳輸或是應用軟體，檢查是否有可疑活動或違反企業的政策。偵測到時發出警報或是採取主動反應措施。雖然和防火牆一樣都是網路安全相關，但是防火牆比較偏向靜態規則，防火牆為避免網路的入侵，防火牆會限制網路間的訪問，不關心網路內的攻擊，但是IDS能夠監控來自系統間的攻擊。
引用:維基百科https://zh.wikipedia.org/zh-tw/%E5%85%A5%E4%BE%B5%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F

入侵檢測系統是一種監測工具，大都以解讀網路封包和日誌內容、網路流量或流向等即時監測、回報、與反應可疑入侵事件，能夠自動化監測事件發生過程的軟體或硬體，攻擊特性跟分析。入侵檢測也可以進行企業內部相關安全性弱點檢測。

IDS重要性

• 防止防火牆和作業系統與應用程式的設定不當
• 監測被防火牆認定正常連線的外部入侵
• 了解和觀察入侵行為，並收集入侵方式資訊
• 監測內部不正當行為

防火牆和入侵檢測系統是不同的，兩者不能互相代替，防火牆

1. 只能抵擋外部攻擊
2. 本身也可能有問題
3. 即使有防火牆保護，使用者還是會使用非法系統
4. 防火牆只能拒絕非法連線請求，對於入侵者攻擊行為依然不知道

簡單來說，防火牆比較像是第一層保護，把大方向的阻止掉，而入侵檢測系統則是會在後面繼續監測不小心被放進來的或是內部攻擊。

入侵檢測系統工作原理

1. 數據收集:由網路流量或是事件日誌上收集相關數據
2. 數據預處理:對收集到的數據先過濾不要的資訊，再將數據換成易於分析的格式
3. 入侵檢測:通常透過兩種方式檢測
   簽名檢測:將流量或日誌的攻擊模式(簽名)進行比對，發現符合的簽名行為，則觸發警報
   異常檢測:會建立一個基線模型，將正常行為都記錄在上面，如果監測到行為脫離基線模型則會發 生警告
4. 入侵分析:一旦檢測到異常行為，回對其分析，確定威脅的性質和嚴重性
5. 警報生成和通知:當入侵行為確認後，IDS會產生警報，並發送電子郵件或是訊息給管理者
6. 響應與預防:IDS不會主動阻止入侵，但會觸發一些響應政策，像是調整防火牆規則、關閉受影響的服務

IDS和IPS的差別
IDS(入侵檢測系統):主要用來監測和識別入侵系統，並通過警報通知管理員，但不會主動攻擊
IPS(入侵防禦系統):在IDS系統上，加了主動防禦功能，響應並防止入侵行為進一步擴展