當(dāng)前的網(wǎng)絡(luò)IDS系統(tǒng)可以分為基于網(wǎng)絡(luò)數(shù)據(jù)包分析的系統(tǒng)（NIDS）和基于主機(jī)分析的系統(tǒng)（HIDS）兩種基本方式。簡(jiǎn)單地講，HIDS產(chǎn)品主要對(duì)主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷，在宿主系統(tǒng)審計(jì)日志文件中尋找攻擊特征，然后給出統(tǒng)計(jì)分析報(bào)告；NIDS產(chǎn)品在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包，并立即作出相應(yīng)反應(yīng)。

從傳統(tǒng)角度看，入侵檢測(cè)系統(tǒng)（IDS）一直存在著主機(jī)型入侵檢測(cè)系統(tǒng)（HIDS）和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)（NIDS）哪一個(gè)更好的爭(zhēng)論。現(xiàn)在有一種說(shuō)法是，HIDS將逐步取代NIDS，成為市場(chǎng)的主流。那么到底HIDS比NIDS好在哪里呢？這需要從監(jiān)測(cè)范圍、檢測(cè)時(shí)間、協(xié)同工作能力、反應(yīng)時(shí)間等幾方面對(duì)HIDS和NIDS加以比較，才能得出結(jié)論。

NIDS只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包，在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。HIDS系統(tǒng)則可以檢測(cè)多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)包。NIDS系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。

而這方面正是HIDS的強(qiáng)項(xiàng)。NIDS系統(tǒng)中的傳感器協(xié)同工作能力較弱，同時(shí)系統(tǒng)處理加密的會(huì)話過(guò)程較困難，而對(duì)于HIDS則沒(méi)有這一障礙。另一方面，由于HIDS系統(tǒng)在反應(yīng)的時(shí)間上依賴于定期檢測(cè)的時(shí)間間隔，反應(yīng)較慢，而且其檢測(cè)實(shí)時(shí)性也沒(méi)有基于網(wǎng)絡(luò)的IDS系統(tǒng)好。NIDS的優(yōu)點(diǎn)是反應(yīng)相當(dāng)快，可以自動(dòng)阻塞那些有懷疑的數(shù)據(jù)，調(diào)整相應(yīng)的網(wǎng)絡(luò)配置，用來(lái)響應(yīng)那些檢測(cè)到的攻擊過(guò)程。不過(guò)，因?yàn)镹IDS工作在實(shí)時(shí)模式，所有的數(shù)據(jù)都要經(jīng)過(guò)它們，所以NIDS成為了網(wǎng)絡(luò)數(shù)據(jù)流量的一個(gè)瓶頸，對(duì)網(wǎng)絡(luò)的性能形成負(fù)面影響。

NIDS對(duì)網(wǎng)絡(luò)性能的影響并不能進(jìn)行確切地度量，其影響每時(shí)每刻都不同，這主要與所采用的硬件、軟件、網(wǎng)絡(luò)數(shù)據(jù)類型、網(wǎng)絡(luò)數(shù)據(jù)流量以及網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有關(guān)。這些觀點(diǎn)從賽門鐵客公司大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)王岳忠處得到了證實(shí)。

從以上幾方面看，HIDS確實(shí)已經(jīng)高出NIDS一籌。但要讓NIDS完全退出市場(chǎng)也并不現(xiàn)實(shí)，畢竟NIDS還有自己的用武之地。因此企業(yè)在實(shí)施NIDS系統(tǒng)的同時(shí)，在特定的敏感主機(jī)上增加代理是一個(gè)比較完善的策略。這樣HIDS與NIDS也可以做到優(yōu)勢(shì)互補(bǔ)。況且目前HIDS也不盡完善，盡管準(zhǔn)確度較高，但缺點(diǎn)是不同的系統(tǒng)需要不同的引擎。系統(tǒng)升級(jí)時(shí)，需要升級(jí)引擎，安裝和維護(hù)不方便，同時(shí)無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊事件。而NISD安裝調(diào)試則較簡(jiǎn)單，不需在系統(tǒng)上安裝任何軟件，需要的引擎數(shù)又少，可及早發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊，同時(shí)隱蔽性也更好。但是在準(zhǔn)確性方面，NIDS的缺點(diǎn)又顯露出來(lái)，同時(shí)隨著網(wǎng)絡(luò)流量的增大，其處理峰值流量的難度也會(huì)隨著加大。這樣比較下來(lái)， NIDS還是不會(huì)比HIDS具有優(yōu)勢(shì)。而主流的HIDS具備管理器/代理結(jié)構(gòu)，通過(guò)這一結(jié)構(gòu)不僅可以監(jiān)視整個(gè)網(wǎng)絡(luò)的入侵和攻擊活動(dòng)、審查日志管理，還可以進(jìn)行實(shí)時(shí)入侵活動(dòng)的探測(cè)。這個(gè)結(jié)構(gòu)代表了IDS技術(shù)的發(fā)展趨勢(shì)。