主機型 IDS 軟件被安裝于需要監控的系統上。IDS 軟件上的數據源是日志文件和/或系統審計代理。主機型 IDS 不僅著眼于計算機中通信流量的出入，同時也校驗用戶系統文件的完整性，并檢測可疑程序。為了能使基于主機的 IDS 完整地覆蓋受控站點，需要在每臺計算機上都安裝 IDS 系統。

　　主機型入侵檢測軟件主要有兩種類型：主機 wrapper /個人防火墻和基于代理的軟件。與網絡型 IDS 相比，主機型 IDS 中每種檢測內部攻擊（即所謂的異常行為）的方法都更為高效，但相對而言，兩者在檢測外部攻擊方面都非常有效。主機 wrapper 或者個人防火墻都可以配置來著眼于受控機器的所有網絡數據包，連接嘗試或登錄嘗試等。另外還包含撥號嘗試或者其它非網絡相關通信端口等功能。

　　網絡型 IDS 的數據源是網絡上的數據包，IDS 監控各網段的數據包流量作為。網絡接口卡被設置為混合模式，以獲取跨越各網段的所有網絡流量。但網絡型 IDS 不能監控其它各段上的網絡流量。

　　網絡型 IDS 著眼于經過傳感器的網絡數據包。傳感器只能看到與其相連的網絡段上裝載的數據包。如果為這些數據包都匹配一個標志，那么主要有以下三種標志類型：

• 串標志（String Signature）：著眼于文本串，表示可能性功能。為降低串信號錯誤數量，使用復合串信號是非常必要的。
• 端口標志（Port Signature）：著眼于眾所周知的、高頻率的攻擊端口的連接嘗試。例如 telnet（TCP 端口23）、FTP（TCP 端口21/20）、SUNRPC（TCP/UDP 端口111）和 IMAP （TCP 端口143）等端口。
• 頭標志（Header Signature）：著眼于危險的或不合理的數據包頭結合。其中最著名的例子是 Winnuke，數據包被指定 NetBIOS 端口和緊急指針，或者設置帶外指針。對微軟系統來說這將導致“藍頻死機”現象。

　　網絡型和主機型 IDS 都具有正反兩面。所以通常情況下，網絡中結合兩種技術提供完整保護功能。總之，有關何處使用到這三種類型，以及如何整合數據都是一個切實且日益關注的主題。