В пассивном режиме система обнаружения вторжений отслеживает трафик и при необходимости генерирует соответствующие сообщения. Т. е. сама система никак не вмешивается в процесс передачи трафика. Иными словами, система работает в неизбирательном режиме.
Работая с копией трафика, система обнаружения вторжений не оказывает негативного влияния на поток пересылаемых пакетов. В этом заключается преимущества данного подхода. Недостаток же состоит в том, что система обнаружения вторжений не может предотвратить однопакетные атаки (вредоносные пакеты беспрепятственно достигают цели) и лишь сообщает о факте их выявления. Системы обнаружения вторжений чаще всего нуждаются в поддержке со стороны других сетевых устройств, например маршрутизаторов и межсетевых экранов. Без такой поддержки надлежащее реагирование на атаку зачастую невозможно.
