Detekcija upada bavi se uočavanjem neovlaštenih pokušaja pristupa računalnoj mreži ili fizičkom računalnom sustavu. Njegova je svrha otkriti sve prijetnje koje bi mogle omogućiti pristup neovlaštenim informacijama, negativno utjecati na integritet podataka ili rezultirati gubitkom pristupa unutar mreže. Obično se provodi korištenjem sustava za otkrivanje upada (IDS) koji otkriva, bilježi i bilježi razne informacije o drugima koji se povezuju na mrežu ili pristupaju fizičkom hostu. Ovi sustavi mogu varirati od softverskih rješenja koja jednostavno bilježe prometne informacije do fizičkih sustava koji uključuju zaštitare, kamere i senzore pokreta.
Postoje tri primarne vrste otkrivanja upada, uključujući mrežne metode, metode temeljene na hostu i fizičke metode. Metode temeljene na mreži pokušavaju označiti sumnjiv mrežni promet i obično koriste programe koji bilježe promet i pakete koji prolaze kroz mrežu. Metode temeljene na hostu traže moguće upade u fizički računalni sustav i provjeravaju integritet datoteka, identificiraju rootkite, nadziru lokalne sigurnosne politike i analiziraju zapisnike. Fizičke metode također se bave identificiranjem sigurnosnih problema na fizičkim uređajima i koriste fizičke kontrole, kao što su ljudi, sigurnosne kamere, vatrozidi i senzori pokreta. U mnogim poslovima s povjerljivim podacima i kritičnim sustavima, kombinacija ovih metoda je poželjna za najbolju moguću sigurnost.
Sustavi za otkrivanje upada obično ne sprječavaju pojavu upada; umjesto toga, oni jednostavno bilježe događaje koji se događaju kako bi drugi mogli prikupiti i analizirati informacije. Iako se to posebno odnosi na metode otkrivanja upada temeljene na mreži i hostu, to možda nije točno za neke fizičke metode, kao što su vatrozidovi i sigurnosno osoblje. Vatrozidi često pružaju mogućnost blokiranja sumnjivog prometa i mogu saznati što je dopušteno, a što nije dopušteno. Osoblje sigurnosti također može spriječiti ljude da fizički provale u tvrtku ili podatkovni centar, a nadzirane zamke i sustavi kontrole pristupa su druge fizičke metode koje mogu spriječiti nekoga da provali.
Ograničenja sustava za otkrivanje upada znače da mnoge organizacije također koriste sustav za sprječavanje upada (IPS) za poduzimanje radnji kada se dogodi sumnjiva aktivnost. Mnogi od tih sustava uključuju funkcije sustava za otkrivanje upada i pružaju sveobuhvatniji sigurnosni sustav koji je od pomoći kada je odgovor na kršenje sigurnosti kritičan. Kada IPS otkrije sumnjiv promet ili kršenja pravila, poduzima radnju konfiguriranu u svojim pravilima. Zaposlenici u informacijskoj sigurnosti ili administratori sustava obično konfiguriraju pravila koja IPS koristi da odgovori na svaki događaj.