IDS入侵检测系统分为两大类。

一、基于签名的IDS和基于异常的IDS。

基于签名的Ids主要依赖于已知的攻击模式库来检测入侵行为，适用于检测已知的攻击模式。

基于异常的Ids则关注网络流量的行为特征，通过分析数据包之间的关系和统计模型来判断是否存在异常行为，更适用于检测未知的攻击模式。

二、主机型入侵检测系统和网络型入侵检测系统。

主机型入侵检测系统Hides一般部署在下述4种情况下。

1.网络带宽太高无法进行网络监控。

2.网络带宽太低不能承受网络IDS的开销。

3.网络环境是高度交换且交换机上没有镜像端口。

4.不需要广泛的入侵检测。

HIDS往往以系统日志、应用程序作为数据源，检测主机上的命令序列比检测网络流更简单，系统的复杂性也少的多，所以主机检测系统误报率比网络入侵检测系统的误报率更低。

它除了检测自身的主机以外，根本不检测网络上的情况，而且对入侵行为分析的工作量将随着主机数量的增加而增加。

因此全面部署主机入侵检测系统代价比较大，企业很难将所有主机用主机入侵检测系统保护，只能选择部分主机进行保护。

那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击的目的。依赖于服务器固有的日志和监视能力。如果服务器上没有配置日志功能则必须重新配置，这将给运行中的业务系统带来不可预见的性能影响。

NIDS也就是网络型入侵检测系统，一般部署在比较重要的网段内，它不需要改变主机等配置。由于它不会在网络系统中的主机中额外安装软件，从而不会影响这些主机的CPU、 I/O与磁盘等资源的使用，不会影响业务系统性能 。

HIDS的数据源是网络上的数据包，通过线路窃听的手段对捕获的网络进行分组处理，从中获取有用的信息，一个网段上只需安装一个或几个这样的系统便可以检测整个网络的情况，比较容易实现，由于现在网络的日趋复杂和高速网络的普及，这种结构正接受着越来越大的挑战。