Il existe deux grandes familles distinctes d’IDS :

 Les N-IDS (Network Based Intrusion Detection System), qui surveillent l’état de la sécurité au niveau du réseau.
 Les H-IDS (HostBased Intrusion Detection System), qui surveillent l’état de la sécurité au niveau des hôtes.

Ce qui distingue fondamentalement ces deux types d’IDS, c’est leur mode de fonctionnement :

* Le premier mode s’appuie sur des bibliothèques de signatures (approche par scénario). La démarche d’analyse est similaire à celle des antivirus quand ceux-ci s’appuient sur des signatures d’attaques. Ainsi, l’IDS est efficace s’il connaît l’attaque, mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la signature afin de faire face à des attaques dont on ne connaît qu’une partie des éléments. Les outils à base de signatures requièrent des mises à jour très régulières.

* Le second mode de fonctionnement des IDS s’appuie sur une analyse comportementale. Un H-IDS se comporte comme un démon ou un service standard sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est générée. Au préalable, l’IDS doit alors apprendre le comportement du réseau pour établir la norme. L’analyse porte sur l’usage du réseau (protocoles, volumétrie, horaires d’activité, congestion et erreurs), l’activité d’une machine (nombre et listes de processus et d’utilisateurs, et ressources consommées) et l’activité d’un utilisateur (horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, etc.). Ces outils s’appuient essentiellement sur des calculs statistiques.

Chacun de ces deux types d’IDS s’adresse à des besoins spécifiques. Les H-IDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les N-IDS permettent de surveiller l’ensemble d’un réseau contrairement à un H-IDS qui est restreint à un hôte.