Sensoren dienen der Überwachung des Datenverkehrs auf Server bzw. Hosts und Netzwerkverbindungen. Man unterscheidet somit zwischen Server- oder Hostsensoren und Netzwerksensoren, welche unterschiedlich realisiert sind. Die Sensoren können, je nachdem welches Intrusion Detection System eingesetzt wird, ganz unterschiedlich gestaltet sein. Diese Sensoren sollen als Beispiel dafür dienen, wie diese arbeiten und auf welche Daten sie zugreifen können.
Netzwerksensoren
Die Netzwerksensoren überwachen alle Pakete, welche in der Netzwerkumgebung anfallen. Die Sensoren schauen nach Ereignissen, welche auf Angriffe hinweisen und versuchen diese zu verhindern. Um es einem Netzwerk-Sensor zu ermöglichen den Paketverkehr zu analysieren, ist es notwendig die Netzwerkkarten in den Promiscuous Modus zu schalten. Damit wird der Sensor in die Lage versetzt den gesamten Netzwerkverkehr mitzulesen und ihn zur Analyse weiterzureichen. Ein reiner Netzwerksensor bietet gegenüber einem Serversensor den Vorteil, das er wesentlich schneller arbeitet und somit meist in großen Netzwerke eingesetzt wird.
Sensoren als Serversensoren oder Hostsensoren
Die Serversensoren müssen auf jedem zu überwachenden Host installiert werden. Die Sensoren überwachen die Log-Dateien, die Kernelaktivitäten und den eingehenden und ausgehenden Netzwerkverkehr des Betriebssystems, auf welchem der Sensor installiert worden ist. Die Sensoren verfügen auch über Alarm- und Blockfunktionen, welche den Analysten darauf hinweisen, ob ein Angriff oder eine ungewöhnliche Aktivität aufgetreten ist. Die Bezeichnung Serversensor ist speziell von Internet Security Systems eingeführt worden und war ein Produktbestandteil von Real Secure. Normalerweise bieten die Hostsensoren keine weitere Überwachung der Netzwerkaktivität. Wenn man sich jedoch die Preisunterschiede zwischen Netzwerksensoren und Serversensoren vergegenwärtigt, wird einem ziemlich schnell klar warum der Serversensor diese spezielle Funktionalität mit integriert hat und speziell für kleine und mittelständische Unternehmen geeignet ist.