Host-based IDS (HIDS)
System Host-based IDS (w skrócie HIDS) polega na zainstalowaniu na wszystkich hostach w sieci, które chcemy objąć monitorowaniem, modułów agentów. Dodatkowo w sieci istnieje jeden komputer będący konsolą zarządzania systemu HIDS, zbierający informacje od wszystkich agentów i pozwalający na monitorowanie ich pracy z poziomu jednego hosta. Każdy moduł agenta natomiast analizuje na danym hoście kluczowe pliki systemu, logi zdarzeń oraz inne sprawdzalne zasoby oraz szuka nieautoryzowanych zmian lub podejrzanej aktywności i w razie wykrycia jakiegokolwiek zdarzenia odbiegającego od normy generuje alarm lub uaktywnia pułapki SNMP (SNMP, z ang. Simple Network Monitoring Protocol - standard protokołu używanego do nadzoru i sterowania komputerami w sieci). Agent Host IDS wykorzystuje różne metody w celu wykrycia próby włamania. Przede wszystkim monitoruje próby zalogowania się do systemu i odnotowywuje każdy przypadek podania niewłaściwego hasła. Jeżeli próby użycia złego hasłą powtarzają się wielokrotnie w krótkich odstępach czasu, można podejrzewać że ktoś niepowołany próbuje zalogować się do systemu. Inną stosowaną metodą jest monitorowanie stanu ważnych plików na dysku poprzez metodę "fotografii stanów". Na początku agent rejestruje stany istotnych plików (na tej samej zasadzie jak program Tripwire). Jeśli intruz dostanie się do systemu i wykona jakieś zmiany na monitorowanych plikach, to agent wykryje to (niestety na ogół nie zostanie to wykryte w czasie rzeczywistym, czyli podczas samego aktu włamywania się do systemu).
Większość systemów typu HIDS to systemy reaktywne. Monitorują system i w razie pojawienia się jakichś nietypowych zdarzeń podnoszą alarm. Istnieją jednak także systemy proaktywne, działające w czasie rzeczywistym. W celu zapobiegania atakom analizują one i przechwytują odwołania do jądra systemu operacyjnego lub API, a następnie rejestrują te fakty w dzienniku zdarzeń.
Network-based IDS (NIDS)
System Network-based IDS (w skrócie NIDS) monitoruje ruch wewnątrz sieci w czasie rzeczywistym i skupia się on wyłącznie na analizie ruchu TCP. Składa on się z sond NIDS umieszczonych w kilku newralgicznych miejscach w sieci. Sondy takie muszą być co najmniej między firewallem, a strefą DMZ oraz między chronioną siecią lokalną, a firewallem. Pracę sond koordynuje konsola zarządzająca systemem NIDS. Zbiera ona informacje od sond i poddaje je analizie, dzięki niej także administrator monitoruje działanie całej sieci z jednego miejsca. Sondy natomiast szczegółowo sprawdzają każdy pakiet przechodzący w sieci. System NIDS jest w stanie namierzyć ataki typu Denial of Service lub niebezpieczną zawartość przenoszoną w pakietach (wirusy, konie trojańskie), zanim osiągną one swoje miejsce przeznaczenia. IDS'y tego rodzaju porównują przechodzące w sieci pakiety z dostępną bazą danych sygnatur ataków. Bazy te uaktualniane są przez dostawców systemów IDS, możliwie często, w miarę pojawiania się nowych form ataków. W przypadku wykrycia podejrzanej aktywności w sieci konsola zarządzająca alarmuje administratora, czasem może także zamknąć natychmiast podejrzane połączenie. Wiele tego typu rozwiązań jest zintegrowanych bezpośrednio z firewallami w celu dodawania dla nich nowych reguł blokowania ruchu w czasie rzeczywistym, które wynikają z przeprowadzanych prób ataku na sieć lokalną. Dzięki takiemu rozwiązaniu atakujący przy kolejnej próbie ataku zostanie zatrzymany już na firewallu. Rozwiązania IDS oparte na metodzie sieciowej funkcjonują w tzw. trybie rozrzutnym (promiscous mode - tak jak sniffery). Polega to na przeglądaniu przez sondę NIDS każdego pakietu w kontrolowanym segmencie sieci, bez względu na jego adres przeznaczenia. Z uwagi na dość duże obciążenie, jakie niesie ze sobą przeglądanie każdego pakietu, sonda NIDS to zazwyczaj dedykowany host, specjalnie do tego przeznaczony.
Sieciowe IDSy, chociaż generalnie skuteczniejsze i oferujące lepszy stopień bezpieczeństwa, niż HIDS, mają jednak dość znaczące wady. Nie są one kompatybilne z sieciami przesyłającymi zaszyfrowane dane. Nie są także w stanie pracować w sieciach o bardzo szybkim ruchu, już w sieci o prędkości 400Mbit/s dość znacząco spowalniają jej działanie, dlatego do sieci szybszych nie jest już używany. Systemy NIDS, by nie stać się wąskim gardłem sieci, a jednocześnie nadążać za ruchem pakietów często tylko powierzchownie analizują ich treść, np. ograniczając się do zwykłego filtrowania pakietów jak ruter ekranujący.
Network Node IDS (NNIDS)
Network Node IDS (w skrócie NNIDS) jest to typ agenta IDS, stanowiący rozwiązanie będące hybrydą hostowego oraz sieciowego IDS'a. Podobny jest pod względem architektury do HIDS, gdyż podobnie jak tam NNIDS składa się z agentów - węzłów sieci, umieszczonych na różnych hostach w sieci lokalnej i kontrolowanych przez jedną centralną konsolę zarządzającą, monitorującą całą sieć. Jednak agenci ci zamiast skupiać się na monitorowaniu plików logu, czy analizie zachowań, tak jak to czyniły systemy HIDS działają raczej w sposób podobny do NIDS - analizują przepływ pakietów w sieci. Pakiety te są następnie porównywane z sygnaturami ataków z bazy danych w identyczny sposób jak sieciowe IDS'y. Różnica tkwi w tym, że o ile NIDS działały w trybie "rozrzutnym", analizując cały ruch w danym segmencie sieci, tak węzłowe IDS'y skupiają się tylko na wybranych pakietach sieci - tylko tych adresowanych do danego węzła, na którym agent rezyduje.
Z powyższych powodów NNIDS pozbawiony jest niektórych ograniczeń sieciowych rozwiązań IDS, ponieważ pracują one znacznie szybciej i wydajniej. Pozwala to na instalowanie ich na istniejących serwerach bez obawy ich przeciążenia. Nie istnieją poza tym tak duże ograniczenia co do prędkości ruchu w sieci, systemy NNIDS z powodzeniem działają w sieciach szybszych niż 400Mbit/s, a także w sieciach z szyfrowaniem przesyłanych danych. Rozwiązanie hybrydowe jest obecnie najpopularniejszym rozwiązaniem w zakresie systemów detekcji intruzów.