SDI baseado em Rede (SDIR)
A maioria dos sistemas de detecção de intrusão são baseados em rede. Esses sistemas detectam ataques capturando e analisando pacotes da rede. As principais vantagens desta técnica são:
- O correto posicionamento de poucos SDI's baseados em rede faz com que uma grande rede possa ser monitorada;
- SDIR pode ser invisível a atacantes pois são passivos, somente necessitando escutar a rede a ser monitorada.
As principais desvantagens são:
- SDIR tendem a ter dificuldade em processar todos os pacotes em uma rede de grande porte e por consequência, podem falhar no reconhecimento de ataques em períodos de alto tráfego;
- Não é possível analisar informação criptografada;
- Alguns SDIR enfrentam problemas em tratar ataques baseados em rede que involvem fragmentação de pacotes pois estes pacotes mal-formados ocasionam instabilidade no SDI.

SDI baseado na Estação (SDIE)
Sistemas de detecção de intrusão baseados em host operam sobre informações coletadas de dentro de um sistema individual de computadores. A fonte de informações mais comum deste tipo de sistema são as trilhas de auditoria do sistema operacional. As principais vantagens são:
- É capaz de analisar informação em um cenário onde o tráfego é criptografado porque, na origem, analisa a informação antes desta ser criptografada e no destino, analisa a informação depois desta ser decriptografada;
- SDIE, quando operam auditando o SO (Sistema Operacional), ajudam a detectar Cavalos de Tróia e outros ataques que involvem brechas de integridade em softwares. Isto se dá pois estes ataques aparecem como inconsistências na execução de processos.
As principais desvantagens são:
- SDIE são mais difíceis de serem gerenciados, já que a informação tem de ser configurada e gerenciada em cada host monitorado;
- SDIE podem ser desligados por certos ataques de negação de serviço (DOS);
- Por usarem recursos computacionais dos seus hosts, SDIE podem diminuir a performance do sistema monitorado.

SDI baseado em Aplicaçõo
Sistemas de detecção de intrusão baseados em aplicações são um subconjunto especial dos sistemas baseados em host. Estes analisam eventos que ocorrem dentro de aplicações de software. A fonte de informações mais comum deste tipo de sistema são os arquivos de log das aplicações. As principais vantagens são:
- Pode tratar informações em ambientes criptografados pelo mesmo motivo do SDIE;
- Pode monitorar a interação entre o usuário e a aplicação, fazendo com que seja possível descobrir qual usuário praticou atividade não autorizada.
As principais desvantagens são:
- É mais vulnerável a ataques que os sistemas baseados em host pois os logs de aplicações não são tão bem protegidos quanto as trilhas de auditoria do SO;
- Como este sistema monitora eventos no nível usuário, ele geralmente não é capaz de detectar Cavalos de Tróia ou outros como ataques de violação de software.