Система обнаружения вторжений (IDS, Intrusion Detection System) производит выявление атак на систему и применение ответных действий для остановки текущих и предотвращения последующих вторжений. Современная IDS состоит из ряда типовых блоков (см. рисунок), которые могут быть размещены как локально на отдельном узле, так и распределенно по защищаемой сети и ее границам.
Сенсоры исполняют роль главного связующего звена IDS с вычислительной средой. Они собирают необходимую для обнаружения вторжения информацию, фильтруют ее и отсылают детекторам. На следующем этапе производится анализ собранных событий безопасности, обнаружение в них вторжений и выработка уведомлений о подозрительной активности. Выявление атак производится детектором по заданным критериям обнаружения (сигнатурам, шаблонам, правилам). Следующий компонент - менеджер IDS применяет контрмеры в ответ на уведомления от детектора об обнаруженной атаке.
Пользовательский интерфейс в современных IDS представляется в виде консоли, которая предоставляет интерфейсы мониторинга и настройки IDS. Подсистема аудита производит поддержку и распространение по детекторам баз критериев обнаружения, а также производит протоколирование функционирования IDS.

Сенсор является компонентом IDS, производящим сбор событий безопасности из защищаемой системы, в качестве которой может выступать как компьютерная сеть в целом, так и конкретный узел сети (отдельный компьютер). Это позволяет разделить сенсоры на два типа - сетевые и хостовые. Их функции отражены на рис.
Сетевые сенсоры осуществляют сбор событий безопасности из сетевого трафика и обеспечивают ими подсистему обнаружения (детектор). Межсетевые экраны и сетевое оборудование располагается в ключевых местах сети, что позволяет использовать их для снятия подозрительного трафика.
Хостовые сенсоры производят предварительную фильтрацию потока событий в системе. При этом используется мониторинг функционирования системы (использования ресурсов, выполнения, входов в систему и т.д.), анализ протоколов (логов) и системных/служебных файлов и структур.
В связи с непосредственным контактом с защищаемой системой, на сенсоры зачастую возлагается реализация контрмер (закрытие соединений, завершение процессов, реконфигурирование сетевых устройств и т.д.).

Детектор - это подсистема IDS, отвечающая за обнаружение вторжений в событиях безопасности системы (архитектура приведена на рис.). Поиск атак производится по тем или иным критериям обнаружения, которые хранятся в локальном банке и обновляются через подсистему аудита.
Атаки различаются сложностью распознавания: некоторые могут быть легко обнаружены по сигнатуре, другие же требуют интеллектуальных методов обнаружения. В связи с этим, современная IDS имеет несколько механизмов обнаружения: сигнатурный поиск, поиск регулярных выражений и интеллектуальный механизм распознавания вторжений. В первом случае производится поиск битов сигнатуры в проходящем потоке системных событий/трафике. Второй случай требует накопления ряда событий безопасности для поиска в них сценария той, или иной атаки, заданной шаблоном. В последнем случае производится интеллектуальный поиск с использованием правил (на специализированном языке), ретроспективного анализа или методов искусственного интеллекта. В таком случае, выявление одной атаки может требовать накопления событий безопасности за длительный период.