Les IDS vont répondre à ces questions. Ce sont des sondes en mode promiscuité. Ils peuvent donc analyser tout le traffic (dans le même domaine de collision), et relever des attaques, alors même qu'ils n'en sont pas la cible directe. Biensûr, nous évoquons ici le fonctionnement des NIDS. Les HIDS vont au contraire établir une suveillance unique du système sur lequel ils sont installés.
De plus, toutes les alertes sont stockées soit dans un fichier, soit dans un base de données, ce qui permet de concevoir un historique, et détablir des liens entre différentes attaques. Ainsi, le responsable sécurité n'a pas besoin de surveiller en permanence pour être au courant de ce qui se passe sur le réseau. Une attaque de nuit ne passera plus inaperçue.
Tous les IDS renvoient de nombreuses informations avec une alerte. Le type supposé d'attaque, la source, la destination, ... Tout cela permet un bonne compréhension d'un incident sécurité, et en cas de faux-positif, de le détecter rapidement.