Os sistemas de detecção de intrusão servem para indicar que alguma tentativa de intrusão foi feita no sistema. Para isso, existem dois tipos diferentes de detecção que podem ser empregados, os baseados na rede e os baseados na estação. Cada um tem uma maneira distinta de abordar o problema e o modo como isso é feito traz vantagens e desvantagens para cada tipo. Resumidamente, podemos dizer que os sistemas baseados na estação monitoram dados em uma determinada máquina, sejam eles processos, sistemas de arquivos e o uso de CPU, por exemplo; enquanto que os sistemas baseados na rede observam todo os dados trocados entre estações.
Fonte: http://www.gta.ufrj.br/grad/03_1/sdi/sdi-2.htm