入侵檢測系統是網絡安全體系中的重要組成部分，旨在監控和分析網絡或系統中的活動，以識別潛在的安全威脅或違規行為。根據其核心檢測技術的工作原理，IDS主要可以劃分為兩大類：基于簽名的入侵檢測系統和基于異常的入侵檢測系統。

第一類是基于簽名（Signature-Based）的入侵檢測系統。這類系統依賴于一個預先定義好的攻擊特征數據庫，即“簽名庫”。系統通過實時監控網絡流量或系統日志，將其與簽名庫中的已知攻擊模式進行比對。一旦發現匹配的特征，就會觸發警報。其工作原理類似于傳統的殺毒軟件，主要優勢在于檢測已知攻擊的準確率高、誤報率相對較低，并且能夠明確識別攻擊的具體類型。其顯著局限性在于無法檢測未知的、新型的或經過變種的攻擊（即“零日攻擊”），并且需要持續更新和維護龐大的簽名庫以應對新的威脅。

第二類是基于異常（Anomaly-Based）的入侵檢測系統。這類系統首先通過機器學習、統計分析或行為建模等方法，建立一個系統或網絡在正常狀態下的行為“基線”模型。在后續的監控中，系統會將實時活動與這個基線模型進行對比，任何顯著偏離正常模式的行為都會被標記為異常并可能觸發警報。其主要優勢在于理論上能夠檢測出未知的新型攻擊和內部威脅，因為攻擊行為往往會導致活動模式偏離常態。但其主要挑戰在于誤報率可能較高（因為正常的、新的但非惡意的行為也可能被誤判為異常），并且建立準確、全面的正常行為基線模型本身是一項復雜且動態的工作。

基于簽名的IDS和基于異常的IDS代表了兩種互補的技術路徑。在實際的網絡安全部署中，為了構建更健壯的防御體系，許多現代入侵檢測/防御系統（IDS/IPS）往往會融合這兩種技術，取長補短，以提高對各類威脅的整體檢測和響應能力。