本发明提供了一种入侵检测系统(1)(IDS)，其能够识别流量源，过滤流量(28)以将其分类为安全的或可疑的，然后基于流量类型来单独地或组合地应用复杂的检测技术，例如状态模式识别、协议解析、启发式检测和异常性检测。在网络环境中，每个流量源(12)具有至少一个IDS传感器(22－24)，该IDS传感器专用于监视特定类型的流量，例如RPC、HTTP、SMTP、DNS等等。来自每个流量源(12)的流量被过滤以去除已知的安全流量，从而通过使每个IDS传感器(22－24)集中针对一种特定流量类型来提高效率和增大精确性。