主机型 IDS 软件被安装于需要监控的系统上。IDS 软件上的数据源是日志文件和/或系统审计代理。主机型 IDS 不仅着眼于计算机中通信流量的出入，同时也校验用户系统文件的完整性，并检测可疑程序。为了能使基于主机的 IDS 完整地覆盖受控站点，需要在每台计算机上都安装 IDS 系统。

　　主机型入侵检测软件主要有两种类型：主机 wrapper /个人防火墙和基于代理的软件。与网络型 IDS 相比，主机型 IDS 中每种检测内部攻击（即所谓的异常行为）的方法都更为高效，但相对而言，两者在检测外部攻击方面都非常有效。主机 wrapper 或者个人防火墙都可以配置来着眼于受控机器的所有网络数据包，连接尝试或登录尝试等。另外还包含拨号尝试或者其它非网络相关通信端口等功能。

　　网络型 IDS 的数据源是网络上的数据包，IDS 监控各网段的数据包流量作为。网络接口卡被设置为混合模式，以获取跨越各网段的所有网络流量。但网络型 IDS 不能监控其它各段上的网络流量。

　　网络型 IDS 着眼于经过传感器的网络数据包。传感器只能看到与其相连的网络段上装载的数据包。如果为这些数据包都匹配一个标志，那么主要有以下三种标志类型：

• 串标志（String Signature）：着眼于文本串，表示可能性功能。为降低串信号错误数量，使用复合串信号是非常必要的。
• 端口标志（Port Signature）：着眼于众所周知的、高频率的攻击端口的连接尝试。例如 telnet（TCP 端口23）、FTP（TCP 端口21/20）、SUNRPC（TCP/UDP 端口111）和 IMAP （TCP 端口143）等端口。
• 头标志（Header Signature）：着眼于危险的或不合理的数据包头结合。其中最著名的例子是 Winnuke，数据包被指定 NetBIOS 端口和紧急指针，或者设置带外指针。对微软系统来说这将导致“蓝频死机”现象。

　　网络型和主机型 IDS 都具有正反两面。所以通常情况下，网络中结合两种技术提供完整保护功能。总之，有关何处使用到这三种类型，以及如何整合数据都是一个切实且日益关注的主题。