Los NIDS están basados en la captura de tráfico de red por medio de los sensores, la tarea de este componente es analizar el flujo de datos que viajan en la red y determinar si éstos datos forman parte del sistema mediante procesos de comparación con las reglas o firmas previamente establecidas en la base de datos.
Si el sistema detecta alguna intrusión, entonces se informara del hecho a través del generador de alarma, que es parte del sistema.