IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。
一、 數(shù)據(jù)收集機制
數(shù)據(jù)收集機制在IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時延較大，檢測就會失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測能力就會下降；如果由于錯誤或入侵者的行為致使收集的數(shù)據(jù)不正確，IDS就會無法檢測某些入侵，給用戶以安全的假象。
1． 分布式與集中式數(shù)據(jù)收集機制
分布式數(shù)據(jù)收集：檢測系統(tǒng)收集的數(shù)據(jù)來自一些固定位置而且與受監(jiān)視的網(wǎng)元數(shù)量無關(guān)。
集中式數(shù)據(jù)收集：檢測系統(tǒng)收集的數(shù)據(jù)來自一些與受監(jiān)視的網(wǎng)元數(shù)量有一定比例關(guān)系的位置。
集中式和分布式數(shù)據(jù)收集方式的區(qū)別通常是衡量IDS數(shù)據(jù)收集能力的標(biāo)志，它們幾乎以相同的比例應(yīng)用于當(dāng)前的IDS產(chǎn)品中。據(jù)專家預(yù)言，分布式數(shù)據(jù)收集機制在若干年后將會占有優(yōu)勢。
2． 直接監(jiān)控和間接監(jiān)控
如果IDS從它所監(jiān)控的對象處直接獲得數(shù)據(jù)，則稱為直接監(jiān)控；反之，如果IDS依賴一個單獨的進程或工具獲得數(shù)據(jù)，則稱為間接監(jiān)控。
就檢測入侵行為而言，直接監(jiān)控要優(yōu)于間接監(jiān)控，由于直接監(jiān)控操作的復(fù)雜性，目前的IDS產(chǎn)品中只有不足20%使用了直接監(jiān)控機制。
3． 基于主機的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集
基于主機的數(shù)據(jù)收集是從所監(jiān)控的主機上獲取的數(shù)據(jù); 基于網(wǎng)絡(luò)的數(shù)據(jù)收集是通過被監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)流獲得數(shù)據(jù)。
總體而言，基于主機的數(shù)據(jù)收集要優(yōu)于基于網(wǎng)絡(luò)的數(shù)據(jù)收集。
4． 外部探測器和內(nèi)部探測器
外部探測器是負(fù)責(zé)監(jiān)測主機中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過獨立于系統(tǒng)的其他代碼來實施的。
內(nèi)部探測器是負(fù)責(zé)監(jiān)測主機中某個組件（硬件或軟件）的軟件。它將向IDS提供所需的數(shù)據(jù)，這些操作是通過該組件的代碼來實施的。
外部探測器和內(nèi)部探測器在用于數(shù)據(jù)收集時各有利弊，可以綜合使用。
由于內(nèi)部探測器實現(xiàn)起來的難度較大，所以在現(xiàn)有的IDS產(chǎn)品中，只有很少的一部分采用它。
二、 數(shù)據(jù)分析機制
根據(jù)IDS如何處理數(shù)據(jù)，可以將IDS分為分布式IDS和集中式IDS。
分布式IDS：在一些與受監(jiān)視組件相應(yīng)的位置對數(shù)據(jù)進行分析的IDS。
集中式IDS：在一些固定且不受監(jiān)視組件數(shù)量限制的位置對數(shù)據(jù)進行分析的IDS。
請注意這些定義是基于受監(jiān)視組件的數(shù)量而不是主機的數(shù)量，所以如果在系統(tǒng)中的不同組件中進行數(shù)據(jù)分析，除了安裝集中式IDS外，有可能在一個主機中安裝分布式數(shù)據(jù)分析的IDS。分布式和集中式IDS都可以使用基于主機、基于網(wǎng)絡(luò)或兩者兼?zhèn)涞臄?shù)據(jù)收集方式。
特性 集中式 分布式
可靠性 僅需運行較少的組件 需要運行較多的組件
容錯 容易使系統(tǒng)從崩潰中恢復(fù)，但也容易被故障中斷。 由于分布特性，所有數(shù)據(jù)存儲時很難保持一致性和可恢復(fù)性。
增加額外的系統(tǒng)開銷 僅在分析組件中增加了一些開銷，那些被賦予了大量負(fù)載的主機應(yīng)專門用作分析。 由于運行的組件不大，主機上增加的開銷很小，但對大部分被監(jiān)視的主機增加了額外開銷。
可擴容性 IDS的組件數(shù)量被限定，當(dāng)被監(jiān)視主機的數(shù)量增加時，需要更多的計算和存儲資源處理新增的負(fù)載。 分布式系統(tǒng)可以通過增加組件的數(shù)量來監(jiān)視更多的主機，但擴容將會受到新增組件之間需要相互通信的制約。
平緩地降低服務(wù)等級 如果有一個分析組件停止了工作，一部分程序和主機就不再被監(jiān)視，但整個IDS仍在繼續(xù)工作。 如果有一個分析組件停止了工作，整個IDS就有可能停止工作。
動態(tài)地重新配置 使用很少的組件來分析所有的數(shù)據(jù)，如果重新配置它們需要重新啟動IDS。 很容易進行重新配置，不會影響剩余部分的性能。
由于分布式不易實現(xiàn)，目前的IDS產(chǎn)品多是集中式的。
三、 縮短數(shù)據(jù)收集與數(shù)據(jù)分析的距離
在實際操作過程中，數(shù)據(jù)收集和數(shù)據(jù)分析通常被劃分成兩個步驟，在不同的時間甚至是不同的地點進行。但這一分離存在著缺點，在實際使用過程中，數(shù)據(jù)收集與數(shù)據(jù)分析功能之間應(yīng)盡量縮短距離。