當(dāng)前的網(wǎng)絡(luò)IDS系統(tǒng)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析的系統(tǒng)（NIDS）和基于主機(jī)分析的系統(tǒng)（HIDS）兩種基本方式。簡單地講，HIDS產(chǎn)品主要對主機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行智能分析和判斷，在宿主系統(tǒng)審計日志文件中尋找攻擊特征，然后給出統(tǒng)計分析報告；NIDS產(chǎn)品在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包，并立即作出相應(yīng)反應(yīng)。

從傳統(tǒng)角度看，入侵檢測系統(tǒng)（IDS）一直存在著主機(jī)型入侵檢測系統(tǒng)（HIDS）和網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）哪一個更好的爭論。現(xiàn)在有一種說法是，HIDS將逐步取代NIDS，成為市場的主流。那么到底HIDS比NIDS好在哪里呢？這需要從監(jiān)測范圍、檢測時間、協(xié)同工作能力、反應(yīng)時間等幾方面對HIDS和NIDS加以比較，才能得出結(jié)論。

NIDS只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包，在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。HIDS系統(tǒng)則可以檢測多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)包。NIDS系統(tǒng)為了性能目標(biāo)通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。

而這方面正是HIDS的強(qiáng)項。NIDS系統(tǒng)中的傳感器協(xié)同工作能力較弱，同時系統(tǒng)處理加密的會話過程較困難，而對于HIDS則沒有這一障礙。另一方面，由于HIDS系統(tǒng)在反應(yīng)的時間上依賴于定期檢測的時間間隔，反應(yīng)較慢，而且其檢測實時性也沒有基于網(wǎng)絡(luò)的IDS系統(tǒng)好。NIDS的優(yōu)點是反應(yīng)相當(dāng)快，可以自動阻塞那些有懷疑的數(shù)據(jù)，調(diào)整相應(yīng)的網(wǎng)絡(luò)配置，用來響應(yīng)那些檢測到的攻擊過程。不過，因為NIDS工作在實時模式，所有的數(shù)據(jù)都要經(jīng)過它們，所以NIDS成為了網(wǎng)絡(luò)數(shù)據(jù)流量的一個瓶頸，對網(wǎng)絡(luò)的性能形成負(fù)面影響。

NIDS對網(wǎng)絡(luò)性能的影響并不能進(jìn)行確切地度量，其影響每時每刻都不同，這主要與所采用的硬件、軟件、網(wǎng)絡(luò)數(shù)據(jù)類型、網(wǎng)絡(luò)數(shù)據(jù)流量以及網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有關(guān)。這些觀點從賽門鐵客公司大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)王岳忠處得到了證實。

從以上幾方面看，HIDS確實已經(jīng)高出NIDS一籌。但要讓NIDS完全退出市場也并不現(xiàn)實，畢竟NIDS還有自己的用武之地。因此企業(yè)在實施NIDS系統(tǒng)的同時，在特定的敏感主機(jī)上增加代理是一個比較完善的策略。這樣HIDS與NIDS也可以做到優(yōu)勢互補(bǔ)。況且目前HIDS也不盡完善，盡管準(zhǔn)確度較高，但缺點是不同的系統(tǒng)需要不同的引擎。系統(tǒng)升級時，需要升級引擎，安裝和維護(hù)不方便，同時無法發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊事件。而NISD安裝調(diào)試則較簡單，不需在系統(tǒng)上安裝任何軟件，需要的引擎數(shù)又少，可及早發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊，同時隱蔽性也更好。但是在準(zhǔn)確性方面，NIDS的缺點又顯露出來，同時隨著網(wǎng)絡(luò)流量的增大，其處理峰值流量的難度也會隨著加大。這樣比較下來， NIDS還是不會比HIDS具有優(yōu)勢。而主流的HIDS具備管理器/代理結(jié)構(gòu)，通過這一結(jié)構(gòu)不僅可以監(jiān)視整個網(wǎng)絡(luò)的入侵和攻擊活動、審查日志管理，還可以進(jìn)行實時入侵活動的探測。這個結(jié)構(gòu)代表了IDS技術(shù)的發(fā)展趨勢。