您通常有两种 IDS，基于网络的和基于主机的，它们可以是签名或统计响应类型。

Signature IDS简单、快速并且可以轻松更新。通常供应商提供签名文件 - 类似于反病毒供应商提供病毒签名的方式。出于这个原因，大多数 IDS 使用签名识别。缺点是他们不会识别新的攻击，除非它的签名与现有的攻击相匹配。

统计或启发式 IDS了解“良好”或正常流量的样子，并对任何不正常的情况发出警报。这确实意味着它们在发现新攻击方面要好得多，但在最初安装和定期实施新服务器、服务以及预期任何新的流量类型或流量时确实需要学习时间。

基于网络的 IDS通常在组织的外围实施，它们可以看到所有进入（有时离开）组织的流量。如果流量有迹象表明它可能是恶意的，它会被记录或标记到响应系统或人员。

对于大型组织，不同有效流量类型的数量可能非常多，并且流量类型会随时间变化，因此基于外围网络的 IDS 的持续配置和调整可能会占用大量资源。出于这个原因，大多数大公司将此外包给为许多组织提供服务的供应商。这些供应商对正在发生的攻击具有更好的可见性，在调整和响应方面具有规模优势，并且能够同时为所有客户更新签名。

基于主机的 IDS通常在内部为特定的高价值服务器实施。流量类型和负载通常要低得多且更可预测，因此资源需求通常较低。

也看看这个问题——一些关于基于异常的（统计）IDS的讨论。

维基百科对这个问题的回答有了一个良好的开端。

摘录：

所有入侵检测系统都使用以下两种检测技术之一：

基于统计异常的 IDS：

基于统计异常的 IDS 基于正常的网络流量评估建立性能基线。然后它将对当前网络流量活动进行采样，以检测它是否在基线参数范围内。如果采样流量超出基线参数，将触发警报。

基于签名的 IDS：

检查网络流量是否有预配置和预定的攻击模式，称为签名。今天的许多攻击都有不同的特征。在良好的安全实践中，必须不断更新这些签名的集合以缓解新出现的威胁。