入侵檢測系統常用的檢測方法有特征檢測方法、統計檢測方法與專家系統檢測方法。目前市場上的入侵檢測產品中，絕大部分屬于使用入侵模板進行模式匹配的特征檢測產品。

1.特征檢測方法

特征檢測對已知的攻擊或入侵的方式做出確定性的描述，形成相應的事件模式。當被檢測的事件與已知的入侵事件模式相匹配時系統立即報警。特征檢測對已知的入侵和攻擊模式準確率較高，但對于未知的入侵與攻擊模式無能為力，其工作機制與計算機病毒檢測方式類似。目前基于對數據包特征描述的模式匹配應用較為廣泛。

2.統計檢測方法

統計檢測的目的主要是判別發生的事件是否異常，它是基于統計模型進行的。統計模型檢測中常常檢測的內容包括事件的數量、間隔時間、資源消耗情況等。統計檢測方法的最大優點是它可以“學習”事件發生的規律，具有較高的檢出率與可用性。但是它的“學習”能力也給入侵者以“訓練”的機會，入侵者可以通過逐步使入侵事件符合正常操作的統計規律來騙過入侵檢測系統。

3.專家系統檢測方法

專家系統的入侵檢測方法是基于知識庫規則的檢測，通常是針對有特征的入侵行為。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵事件特征的提取和知識的表達，是建立入侵檢測專家系統的關鍵。在系統實現中，通常將入侵的特征和防范措施放入if-then結構的啟發式知識庫規則中，規則的條件部分(if)為入侵特征，規則的動作部分(then)是系統防范措施。運用專家系統防范有特征的入侵行為的有效性，完全取決于專家系統知識庫的有效性。