當前的網絡IDS系統可以分為基于網絡數據包分析的系統（NIDS）和基于主機分析的系統（HIDS）兩種基本方式。簡單地講，HIDS產品主要對主機的網絡實時連接以及系統審計日志進行智能分析和判斷，在宿主系統審計日志文件中尋找攻擊特征，然后給出統計分析報告；NIDS產品在網絡通信中尋找符合網絡入侵模板的數據包，并立即作出相應反應。

從傳統角度看，入侵檢測系統（IDS）一直存在著主機型入侵檢測系統（HIDS）和網絡型入侵檢測系統（NIDS）哪一個更好的爭論?，F在有一種說法是，HIDS將逐步取代NIDS，成為市場的主流。那么到底HIDS比NIDS好在哪里呢？這需要從監測范圍、檢測時間、協同工作能力、反應時間等幾方面對HIDS和NIDS加以比較，才能得出結論。

NIDS只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包，在使用交換以太網的環境中就會出現監測范圍的局限。HIDS系統則可以檢測多種網絡環境下的網絡包。NIDS系統為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。

而這方面正是HIDS的強項。NIDS系統中的傳感器協同工作能力較弱，同時系統處理加密的會話過程較困難，而對于HIDS則沒有這一障礙。另一方面，由于HIDS系統在反應的時間上依賴于定期檢測的時間間隔，反應較慢，而且其檢測實時性也沒有基于網絡的IDS系統好。NIDS的優點是反應相當快，可以自動阻塞那些有懷疑的數據，調整相應的網絡配置，用來響應那些檢測到的攻擊過程。不過，因為NIDS工作在實時模式，所有的數據都要經過它們，所以NIDS成為了網絡數據流量的一個瓶頸，對網絡的性能形成負面影響。

NIDS對網絡性能的影響并不能進行確切地度量，其影響每時每刻都不同，這主要與所采用的硬件、軟件、網絡數據類型、網絡數據流量以及網絡的拓撲結構有關。這些觀點從賽門鐵客公司大中華區安全事業部技術總監王岳忠處得到了證實。

從以上幾方面看，HIDS確實已經高出NIDS一籌。但要讓NIDS完全退出市場也并不現實，畢竟NIDS還有自己的用武之地。因此企業在實施NIDS系統的同時，在特定的敏感主機上增加代理是一個比較完善的策略。這樣HIDS與NIDS也可以做到優勢互補。況且目前HIDS也不盡完善，盡管準確度較高，但缺點是不同的系統需要不同的引擎。系統升級時，需要升級引擎，安裝和維護不方便，同時無法發現網絡上的攻擊事件。而NISD安裝調試則較簡單，不需在系統上安裝任何軟件，需要的引擎數又少，可及早發現網絡上的攻擊，同時隱蔽性也更好。但是在準確性方面，NIDS的缺點又顯露出來，同時隨著網絡流量的增大，其處理峰值流量的難度也會隨著加大。這樣比較下來， NIDS還是不會比HIDS具有優勢。而主流的HIDS具備管理器/代理結構，通過這一結構不僅可以監視整個網絡的入侵和攻擊活動、審查日志管理，還可以進行實時入侵活動的探測。這個結構代表了IDS技術的發展趨勢。