Existem basicamente três tipos de intrusões para um IDS detectar. Sendo denominados conhecidos, quando possuem uma estrutura rígida e seu comportamento já é devidamente conhecido e catalogado, generalizáveis, quando são parecidos com os conhecidos, no entanto apresentam modificações em seu funcionamento e desconhecidos são intrusões não muito difundidas ou mesmo uma versão muito generalizada de uma intrusão conhecida, as quais tornam impossíveis os usos de regras predefinidas para detecção.

Para detectar as operações ilegais na rede são usadas, nos casos conhecidos e generalizáveis, a checagem de assinaturas, isto é, procura por padrões já pré-estabelecidos de atividades de cunho malicioso. Ou, para invasões desconhecidas, buscando anomalias, que são nada mais do que atividades/dados diferentes do perfil tradicional da máquina/rede em que o IDS se encontra.

Um IDS pode ainda ter diferentes tempos de resposta, uma vez que ele pode operar no dito tempo real, fazendo uso de consultas de assinaturas on-line ou pode necessitar fazer um processamento após terminadas as operações, método esse conhecido como batch , que é o mais comum em detecções por anomalias.

Tais operações podem, no entanto, levar a dois inconvenientes. São eles: a emissão dos ditos falsos positivos e falsos negativos. O primeiro, também conhecido como “falso alerta” é mais comum em situações onde, após o IDS detectar uma intrusão, ações com comportamentos semelhantes a esta acabarem também detectados como intrusões. O falso negativo por sua vez é a intrusão bem sucedida.

Após detectada uma intrusão, um IDS normalmente apresenta apenas um comportamento passivo de resposta, isto é, ele apenas alerta o usuário do ocorrido, no entanto, ele pode dar uma resposta ativa (uma solução) se configurado não como um IDS mas como um IDPS.