按数据来源和系统结构分类，入侵检测系统可分为3类:基于主机的入侵检测系统、基于网络的入侵检测系统和集成化的入侵检测系统(混合型)。

按数据来源和系统结构分类，入侵检测系统可分为3类:基于主机的入侵检测系统、基于网络的入侵检测系统和集成化的入侵检测系统(混合型)。

(1)基于主机的入侵检测系统

基于主机的入侵检测系统一般只能检测特定主机上发生的入侵，保护的一般是所在的主机系统，运行在重要的系统服务器、工作站或用户机器上。它的输入数据来源于计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录，因此依赖于服务器固有的日志与监视能力。基于主机的入侵检测系统在每个要保护的主机上运行一个代理程序，监视操作系统或系统事件的可疑活动，寻找潜在的可疑活动，如能分辨入侵者干了什么事、他们运行了什程序、打开了哪些文件、执行了哪些系统调用等。


 
(2)基于网络的入侵检测系统

基于网络的入侵检测系统能够检测网段上发生的网络入侵。它的输入数据来源于网络上的信息包，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析。网络入侵检测系统能够检测到来自网络的攻击以及超过授权的非法访问。网络入侵检测系统不需要改变服务器等主机的配置，不会影响系统的性能。
 
(3)集成化的入侵检测系统

基于网站建设网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，合了基于网络和基于主机的集成化的入侵检测系统可以发现网络中的攻击信息，也可以从系统日志中发现异常情况集成化的入侵检测系统一殿由多个部件组成，分布在网络的各个部分，完成相应的功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵报警等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整个网络上的主机入侵。