IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。
一、 數(shù)據(jù)收集機(jī)制
數(shù)據(jù)收集機(jī)制在IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時延較大，檢測就會失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測能力就會下降；如果由于錯誤或入侵者的行為致使收集的數(shù)據(jù)不正確，IDS就會無法檢測某些入侵，給用戶以安全的假象。
1． 分布式與集中式數(shù)據(jù)收集機(jī)制
分布式數(shù)據(jù)收集：檢測系統(tǒng)收集的數(shù)據(jù)來自一些固定位置而且與受監(jiān)視的網(wǎng)元數(shù)量無關(guān)。
集中式數(shù)據(jù)收集：檢測系統(tǒng)收集的數(shù)據(jù)來自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置。
集中式和分布式數(shù)據(jù)收集方式的區(qū)別通常是衡量IDS數(shù)據(jù)收集能力的標(biāo)志，它們幾乎以相同的比例應(yīng)用于當(dāng)前的IDS產(chǎn)品中。據(jù)專家預(yù)言，分布式數(shù)據(jù)收集機(jī)制在若干年后將會占有優(yōu)勢。
2． 直接監(jiān)控和間接監(jiān)控
如果IDS從它所監(jiān)控的對象處直接獲得數(shù)據(jù)，則稱為直接監(jiān)控；反之，如果IDS依賴一個單獨(dú)的進(jìn)程或工具獲得數(shù)據(jù)，則稱為間接監(jiān)控。
就檢測入侵行為而言，直接監(jiān)控要優(yōu)于間接監(jiān)控，由于直接監(jiān)控操作的復(fù)雜性，目前的IDS產(chǎn)品中只有不足20%使用了直接監(jiān)控機(jī)制。
3． 基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集
基于主機(jī)的數(shù)據(jù)收集是從所監(jiān)控的主機(jī)上獲取的數(shù)據(jù); 基于網(wǎng)絡(luò)的數(shù)據(jù)收集是通過被監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)流獲得數(shù)據(jù)。
總體而言，基于主機(jī)的數(shù)據(jù)收集要優(yōu)于基于網(wǎng)絡(luò)的數(shù)據(jù)收集。
4． 外部探測器和內(nèi)部探測器
外部探測器是負(fù)責(zé)監(jiān)測主機(jī)中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過獨(dú)立于系統(tǒng)的其他代碼來實(shí)施的。
內(nèi)部探測器是負(fù)責(zé)監(jiān)測主機(jī)中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過該組件的代碼來實(shí)施的。
外部探測器和內(nèi)部探測器在用于數(shù)據(jù)收集時各有利弊，可以綜合使用。
由于內(nèi)部探測器實(shí)現(xiàn)起來的難度較大，所以在現(xiàn)有的IDS產(chǎn)品中，只有很少的一部分采用它。
二、 數(shù)據(jù)分析機(jī)制
根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。
分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進(jìn)行分析的IDS。
集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進(jìn)行分析的IDS。
請注意這些定義是基于受監(jiān)視組件的數(shù)量而不是主機(jī)的數(shù)量，所以如果在系統(tǒng)中的不同組件中進(jìn)行數(shù)據(jù)分析，除了安裝集中式IDS外，有可能在一個主機(jī)中安裝分布式數(shù)據(jù)分析的IDS。分布式和集中式IDS都可以使用基于主機(jī)、基于網(wǎng)絡(luò)或兩者兼?zhèn)涞臄?shù)據(jù)收集方式。
特性 集中式 分布式
可靠性 僅需運(yùn)行較少的組件 需要運(yùn)行較多的組件
容錯 容易使系統(tǒng)從崩潰中恢復(fù)，但也容易被故障中斷。 由于分布特性，所有數(shù)據(jù)存儲時很難保持一致性和可恢復(fù)性。
增加額外的系統(tǒng)開銷 僅在分析組件中增加了一些開銷，那些被賦予了大量負(fù)載的主機(jī)應(yīng)專門用作分析。 由于運(yùn)行的組件不大，主機(jī)上增加的開銷很小，但對大部分被監(jiān)視的主機(jī)增加了額外開銷。
可擴(kuò)容性 IDS的組件數(shù)量被限定，當(dāng)被監(jiān)視主機(jī)的數(shù)量增加時，需要更多的計(jì)算和存儲資源處理新增的負(fù)載。 分布式系統(tǒng)可以通過增加組件的數(shù)量來監(jiān)視更多的主機(jī)，但擴(kuò)容將會受到新增組件之間需要相互通信的制約。
平緩地降低服務(wù)等級 如果有一個分析組件停止了工作，一部分程序和主機(jī)就不再被監(jiān)視，但整個IDS仍在繼續(xù)工作。 如果有一個分析組件停止了工作，整個IDS就有可能停止工作。
動態(tài)地重新配置 使用很少的組件來分析所有的數(shù)據(jù)，如果重新配置它們需要重新啟動IDS。 很容易進(jìn)行重新配置，不會影響剩余部分的性能。
由于分布式不易實(shí)現(xiàn)，目前的IDS產(chǎn)品多是集中式的。
三、 縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離
在實(shí)際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個步驟，在不同的時間甚至是不同的地點(diǎn)進(jìn)行。但這一分離存在著缺點(diǎn)，在實(shí)際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。