Network-Based monitora o tráfego e analisa a rede para identificar comportamentos suspeitos. Geralmente utiliza um conjunto de sensores colocados em vários pontos da rede que monitoram o tráfego em modo anônimo, relatando ataques a uma central de gerenciamento.

User-Based pode ser instalado de maneira individual, tanto para computadores corporativos dentro de uma rede empresarial, quanto para endpoints. É capaz de monitorar o tráfego da rede para o dispositivo, os processos em execução, os logs do sistema e o acesso e alteração em arquivos e aplicações.

Database-Based se baseia em um banco de dados que identifica e cria a assinatura de vulnerabilidades. Necessita que haja uma estrutura baseada em uma política de atualização contínua desse banco de dados, para garantir a continuidade de segurança do ambiente.

Knowledge-Based analisa o comportamento do tráfego e segue uma linha padrão de atividade anormal do sistema. Caso haja desvios desse padrão, com a possibilidade de ser uma intrusão, podem ser tomadas algumas ações, tais como o bloqueio temporário do tráfego ou alarmes para núcleos de operação de rede (NOC/SNOC).

Passivo é programado para bloquear automaticamente ataques ou atividades suspeitas que sejam do seu conhecimento, sem qualquer necessidade de intervenção humana. Requer uma padronização adequada nos ambientes protegidos a fim de minimizar falsos positivos, como bloquear conexões que são legítimas.