Os IDPS podem ser categorizados em quatro grupos de acordo com o tipo de evento que monitoram e a forma como são implantados.

Network-Based

Monitora o tráfego de rede em um seguimento particular da rede ou dispositivo e analisa a rede e atividade protocolo de aplicação para identificar atividades suspeitas. Sistemas deste tipo são capazes de identificar vários tipos de eventos de interesse. Normalmente é empregado como fronteira entre duas redes, como nas proximidades de firewalls ou roteadores, servidores de redes privadas (VPN), servidores de acesso remoto e redes sem fio.

Wireless

Empregado no monitoramento do tráfego e na análise de protocolos para identificar atividades suspeitas envolvendo os próprios protocolos. Sistemas deste tipo são incapazes de identificar atividades suspeitas em aplicações ou em protocolos das camadas mais elevadas (como TCP, UDP) que estejam sendo transferidos na rede. Apesar de ser mais comumente utilizados dentro do alcance de rede sem fio de uma organização para monitorá-la, pode ser usado em locais onde haja suspeita de tráfego não autorizado na rede sem fio.

Network Behavior Analysis (NBA)

Examina o trafego de rede em busca de ameaças que gerem padrões incomuns de fluxo de dados como ataques DDos, alguns tipos de malware, violações de privacidade. Sistemas NBA são os mais usados para monitorar o tráfego entre uma rede interna de uma instituição e redes externas.

Host-Based

Monitora características de um único dispositivo e os eventos que acontecem com ele em busca de atividades suspeitas. Algumas características que podem ser monitoradas por host-based IDPS: trafego da rede para este dispositivo, logs do sistema, processos em execução, atividades de aplicações, acesso e alteração em arquivos e modificações em aplicações e no sistema. São usados apenas para alguns dispositivos cujo funcionamento é essencial para o sistema como servidores de acesso público e servidores que contenham informações sigilosas.