根据入侵检测系统常用的检测技术可将其分为以下几种类型：

误用入侵检测系统：基于特征的模式匹配检测，它只能对已有的入侵模式检测出来，但对新的入侵模式无能为力，它对预定义的特征库依赖很大。
异常入侵检测系统：根据预设主体的正常“活动简档”，将当前主体的活动状况与“活动简挡”作比较，看其是否为违反统计规律。
协议分析入侵检测系统。

根据数据来源又可分为：

基于主机的IDS(HIDS)：这类IDS一般安装到被保护的主机上。主要是功能是对该主机的网络实时连接以及对系统审计日志进行分析和检查，当发现可疑行为和安全违规事件时，系统就会像管理员报警，并采取相应的预案措施；
基于网络的IDS(NIDS)：这类IDS就像网络中的监视摄像头一样，在网络旁路上监视着通过网络的各种数据包，并对其进行分析和检测，如果发现入侵行为或可疑事件，IDS就会作出相应的警报，严重的还会切断网络连接；
混合式IDS：以上两种互补。
完整性检查：文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。