Il firewall innalza molto il livello di sicurezza, ma non garantisce che un hacker particolarmente esperto non possa introdursi nella rete. Per riuscire a scoprire quando ciò avviene c'è bisogno di un sistema anti intrusione (Intrusion Detection System - IDS), ovvero di un sistema che riconosca i tentativi di entrare abusivamente nella nostra rete o di utilizzare le nostre macchine per scopi che non avevamo previsto.

I sistemi di intrusion detection analizzano ogni pacchetto che circola nella rete e rilevano se il pacchetto contiene comandi sospetti che potrebbero essere inviati a scopo fraudolento, segnalano l'anomalia e l'indirizzo da cui provengono i pacchetti, interrompono la connessione e nel caso questa sia esterna ed esista un firewall lo stesso è immediatamente riconfigurato

Sono disponibili diversi tipi di IDS, sia commerciali che open source, che differiscono tra loro soprattutto nelle metodologie di analisi e di reporting, oltre che nel tipo di traffico individuabile e monitorabile, raggruppabili nelle seguenti categorie:

• Network Intrusion Detection Systems (NIDS): controllano che nei pacchetti che circolano sulla rete non vi siano segni di un hacker/cracker al lavoro.
  Un classico esempio di NIDS è quello di un sistema che monitorizza il traffico per individuare quando vi sia un elevato numero di richieste di connessioni TCP a diverse porte differenti di una stessa macchina, chiaro indice di un TCP port scan.
  I NIDS, a differenza degli altri tipi di IDS che controllano solo la macchina su cui sono installati, svolgono la loro attività di monitoraggio su diverse macchine.
• System integrity verifiers: controllano i file di sistema per verificare che questi non subiscano cambiamenti sospetti (indizio dell'installazione di una backdoor)
• Log file monitors (LFM): controllano i file di log generati dai servizi di rete. Come i NIDS, questo tipo di intrusion detection system verifica i log alla ricerca di pattern di attacco conosciuti.
• Deception systems (conosciuti anche come decoys, lures, fly-traps, honeypot): sono sostanzialmente delle esche per gli intrusori. Infatti essi simulano servizi bacati che un aggressore potrebbe essere interessato a cercare di penetrare.