據其採用的技術可以分為異常檢測和特徵檢測。
異常檢測,異常檢測的假設是入侵者活動異常於正常主體的活動,建立正常活動的活動簡檔,當前主體的活動違反其統計規律時,認為可能是入侵行為。通過檢測系統的行為或使用情況的變化來完成。特徵檢測,特徵檢測假設入侵者活動可以用一種模式來表示,然後將觀察物件與之進行比較,判別是否符合這些模式。協議分析,利用網路協議的高度規則性快速探測攻擊的存在。根據其監測的物件是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。記錄入侵證據和進行資料恢復。事後入侵檢測是管理員定期或不定期進行檢查。線上檢測系統是實時聯機的檢測系統,它包含對實時網路資料包分析,實時主機審計分析。入侵檢測系統通過在共享網段上對通訊資料的偵聽採集資料,分析可疑現象。
