按照入侵检测输入数据的来源和系统结构来看，入侵检测系统可以为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和分布式入侵检测系统。

1. 基于主机的入侵检测系统（HIDS）

基于主机的入侵检测系统的输入数据来源于系统的审计日志，主要是针对该主机的网络实时连接及对系统审计日志进行智能分析和判断。基于主机的入侵检测系统通常安装在重要的系统服务器、工作站或用户机器上，它要求与操作系统内核和服务紧密捆绑，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件进行日志；还可以监测特定的系统文件和可执行文件调用；对于特别设定的关键文件和文件夹也可以进行适时轮询的监控。HIDS能对检测的入侵行为、事件给予积极的反应，如断开系统、封掉用户账号、杀死进程、提交警报等。HIDS最适合检测内部人员的误操作及已经避开传统的检测方法而渗透到网络中的活动。

基于主机的入侵检测系统的优点主要有：

（1）监视特定的系统活动非常有用。HIDS易于监视用户和访问文件的活动，如对敏感文件、目录、程序或端口的存取，以及试图访问特殊的设备等。

（2）误报率要低。HIDS通常情况下，比NIDS的误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂度也少得多。

（3）适用于加密和交换的环境。

（4）对网络流量不敏感。一般不会因为网络流量的增加而遗漏对网络行为的监视。

基于主机的入侵检测系统的缺点主要有：

（1）系统需要安装在需要保护的设备上，依赖于服务器固有的日志和监测能力。但服务器审计信息存在弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计更低级的操作来逃避审计。

（2）全面部署HIDS的花费较大，因此通常选择部分主机进行保护，而那些未安装HIDS的计算机将成为保护的盲点，入侵者可以将这些计算机作为攻击目标，因为HIDS除了监测安装自身的主机外，根本不监测网络的情况。

（3）某些网络攻击不能够被分析主机审计记录检测到。

（4）HIDS的运行或多或少会影响主机的性能，可能降低应用系统的效率。

（5）HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测，所能检测的攻击类型受到限制。

2. 基于网络的入侵检测系统（NIDS）(www.daowen.com)

基于网络的入侵检测系统（NIDS）的输入数据来源于网络信息流，通常部署在企业网络出口处，或者内部关键子网边界等比较重要的网段内，检测流经整个网络的流量和网段中各种数据包。NIDS能够检测该网段上发生的网络入侵，也可以在检测到入侵后，通过向连接的交换机或防火墙发送指令阻断后续攻击。

基于网络入侵检测系统（NIDS）的优点：

（1）成本较低。将安全策略配置在几个关键访问点上就可以保护大量主机或服务器。

（2）不影响业务系统。它不需要改变服务器等主机配置，不需要安装额外软件，不会影响系统的性能。

（3）实时检测和响应。一旦发现恶意访问或攻击，NIDS通常能在微秒或秒级发现，这种实时性能使得系统可以根据预先定义的参数迅速采取相应的行动，从而将入侵活动对系统的破坏降到最低。

（4）能够检测未成功的攻击企图。部署在防火墙外面的NIDS可以检测到旨在利用防火墙所保护资源的攻击。

基于网络的入侵检测系统也有一些弱点：

（1）只检测与它直连的网段的通信，不能检测不同网段的数据包。

（2）NIDS通常采用特征检测法，只能检测出普通攻击，很难实现复杂的、需要大量计算和分析时间的攻击检测。

（3）NIDS通常会将大量的数据传回分析系统中。

（4）处理加密的会话过程较困难。目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。

3. 分布式入侵检测系统

分布式入侵检测系统一般由多个部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应等。在这种结构下，不仅可以检测到会对单独主机的入侵，同时也可以检测到针对整个网段主机的入侵。