人们经常根据获取原始数据的途径，将IDS分为基于主机（HIDS）和基于网络的IDS（NIDS）。

　　IDS通过对入侵行为的过程与特征的研究，从而对入侵事件和过程作出实时响应。IDS从分析方式上分为两种：模式匹配（Signature-based）和异常发现（Anomaly-based）。

　　1.模式匹配的关键是，将所有入侵行为和手段及其变种，包括系统的误用，表达为一种模式或特征，建立一个入侵模式库。检测时，主要判别主机或者网络中所搜集到的数据特征是否在所收集到的入侵模式库中出现，匹配可以是简单的字符串匹配，也可以是正则的数学表达式所表示的安全状态的变化。模式匹配方式可以详细、准确地报告出已知的攻击类型，误报率低，但是对未知攻击却效果有限，而且入侵模式库必须不断更新，以对付不断出现的黑客攻击手法。

　　2.异常发现通过流量统计分析，建立系统正常行为的轨迹，定义一组系统“正常”情况的阈值，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。系统正常行为可以包括CPU利用率、内存利用率、文件校验和等系统信息，也可以包括用户正常使用的访问时间和次数、操作失败次数和延时等行为测量数据。这种检测技术的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。