根據其採用的技術可以分為異常檢測和特徵檢測。

（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的“活動簡檔”，當前主體的活動違反其統計規律時，認為可能是“入侵”行為。透過檢測系統的行為或使用情況的變化來完成

（2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察物件與之進行比較，判別是否符合這些模式。

（3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。

根據其監測的物件是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。

（1）基於主機的入侵檢測系統：透過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。

（2）基於網路的入侵檢測系統：基於網路的入侵檢測系統透過在共享網段上對通訊資料的偵聽採集資料，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。

（3）分散式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的資料也是來源於網路中的資料包，不同的是，它採用分散式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有使用者操作介面。黑匣子用來監測其所在網段上的資料流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路資料，同時向集中安全管理中心發回安全事件資訊。集中安全管理中心是整個分散式入侵檢測系統面向使用者的介面。它的特點是對資料保護的範圍比較大，但對網路流量有一定的影響。

根據工作方式分為離線檢測系統與線上檢測系統。

（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對使用者操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連線，並記錄入侵證據和進行資料恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。

（2）線上檢測系統：線上檢測系統是實時聯機的檢測系統，它包含對實時網路資料包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連線過程中進行，系統根據使用者的歷史行為模型、儲存在計算機中的專家知識以及神經網路模型對使用者當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連線，並收集證據和實施資料恢復。這個檢測過程是不斷迴圈進行的。