Un IDS puede detectar actividades sospechosas , incluyendo la actividad de origen dentro de la red . Se emplea un mecanismo complejo para determinar las actividades que entran y salen de la red . Un usuario del departamento de contabilidad, que de repente se accede a los archivos de la TI o departamento de recursos humanos puede alertar a un IDS como actividades sospechosas. Esto es especialmente cierto si el administrador de la red no se ha concedido al usuario el acceso a los archivos de otros departamentos . IDS también puede detectar cuentas falsas y robadas, y tomar acción inmediata sobre tales intrusiones .
Detección de Usurpación de Recursos
Un IDS también puede detectar cuando los individuos dentro de la mala utilización de la red recursos de la red . Los usuarios encuentran formas de eludir las políticas de seguridad de la red. Un IDS detecta si un usuario ha pasado por alto , por ejemplo, la configuración de proxy para acceder a sitios web prohibidos en horas de trabajo . También puede averiguar si los archivos de descargas de películas de usuario o la música a través de Internet , lo que ralentiza toda la red . Un IDS permite detectar qué usuario o equipo específico violan las políticas de seguridad
Evidencia de retención
Los usuarios experimentados pueden hacer más que eludir las políticas de seguridad ; . Que también puede editar los registros que almacenan esa información para eliminar los rastros de sus actividades en la red . Un IDS detecta comportamientos hostiles y suspicaces en tiempo real mediante la identificación inmediata si una persona intenta descargar películas usando el ancho de banda de la red o intenta robar una cuenta de usuario. También conserva evidencias y rastros de la red de las actividades del usuario . Esto hace que cualquier manipulación de pruebas casi imposible.
Red de Monitoreo
Debido a que un IDS emplea métodos en tiempo real para detectar las intrusiones y ataques a la red , es capaz de controlar inmediatamente todas las actividades y el tráfico en la red, y examinar todos los datos que va a través de la red. También se examinan los datos desde una perspectiva a nivel de usuario . Se analiza el ordenador de cada usuario , el tipo de acceso previstas en el ordenador y el usuario, y todas las actividades que tienen lugar entre los usuarios, equipos y otros dispositivos de la red.