基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的数据包,从而检测是否存在入侵行为,基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块通常使用四种常用技术来标识攻击标志:模式、表达式或自己匹配;频率或穿越阀值;低级时间的相关性;统计学意义上的非常规现象检测,一旦检测到了攻击行为,IDS响应模块就提供多种选项以通知,报警并对攻击采取响应的反应,尤其适应于大规模网络的NIDS可扩展体系结构,知识处理过程和海量数据处理技术等。