Informacijske mreže mogu biti vrlo osjetljive na zlonamjerne napade crva, virusa i raznih drugih mrežnih prijetnji, a na tim frontama redovito se pojavljuju novi problemi. Takvi napadi mogu paralizirati mreže, uništiti važne podatke i negativno utjecati na produktivnost. Kako se to ne bi dogodilo, postavljeni su sustavi za otkrivanje upada (IDS) koji štite informacijske mreže.
Sustav za otkrivanje upada djeluje kao zaštita koja otkriva napade prije ili kada se dogode, upozorava administraciju sustava i zatim poduzima odgovarajuće korake za onemogućavanje napada, vraćajući mrežu u njezin normalan radni kapacitet. Određeni stupanj ljudskog nadzora i istrage obično je potreban u sustavima za otkrivanje upada, budući da IDS nije potpuno siguran. Sustav za otkrivanje upada možda, na primjer, neće uspjeti identificirati neke mrežne prijetnje ili, u slučajevima zauzetih mreža, možda neće moći provjeriti sav promet koji prolazi kroz mrežu.
U svom svakodnevnom radu, sustav za otkrivanje upada nadzire aktivnost korisnika i promet na mreži, te prati konfiguracije sustava i sistemske datoteke. Ako se otkriju bilo kakve abnormalnosti ili napadi, sustav za otkrivanje upada odmah postavlja alarm kako bi na to upozorio administratora sustava. Sustav tada može nastaviti s rješavanjem mrežnih prijetnji ili prepustiti administratoru da odluči o najboljem načinu rješavanja problema.
Postoje tri glavne vrste sustava za otkrivanje upada koji zajedno tvore sustav za sprječavanje upada. Prvi je detekcija upada u mrežu, koja održava biblioteku poznatih mrežnih prijetnji. Sustav provjerava po internetu i stalno ažurira ovu biblioteku; na taj način sustav se informira o najnovijim mrežnim prijetnjama i može bolje zaštititi mrežu. Prolazni promet se prati i provjerava s knjižnicom, a ako se bilo koji poznati napad ili bilo koje abnormalno ponašanje podudara s onima u knjižnici, sustav se sprema da ga blokira.
Detekcija upada u mrežni čvor drugi je dio sustava za sprječavanje upada. Provjerava i analizira promet koji prolazi s mreže na određeni host. Treći dio je sustav za detekciju upada hosta, koji provjerava bilo kakve promjene u trenutnom sustavu; ako se bilo koje datoteke izmijene ili izbrišu, sustav za detekciju upada domaćina oglašava alarm. Može ili izravno onemogućiti napad ili postaviti novo, poboljšano sigurnosno okruženje.