一、简介

       入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

       它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

       入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

     二、按功能分类

       1)、基于主机的检测：

       对于这一类的检测通常是通过主机系统的日志和管理员的设置来检测。在系统的日志里记录了进入系统的ID、时间以及行为等。

       这些可通过打印机打印出来，以便进一步分析。

       管理员的设置包括用户权限、工作组、所使用的权限等。如果这些与管理员的设置有不同之处，说明系统有可能被入侵。

       2)、基于网络检测：

       网络入侵者通常利用网络的漏洞进入系统，如TCP/IP协议的三次握手，就给入侵者提供入侵系统的途径。任何一个网络适配器都具有收听其它数据包的功能。

       它首先检查每个数据包目的地址，只要符合本机地址的包就向上一层传输，这样，通过对适配器适当的配置，就可以捕获同一个子网上的所有数据包。

       所以，通常将入侵检测系统放置在网关或防火墙后，用来捕获所有进出的数据包，实现对所有的数据包进行监视。

       3)、基于内核的检测：

       基于内核的检测是从操作系统的内核收集数据，作为检测入侵或异常行为的依据。这种检测策略的特点是具有良好的检测效率和数据源的可信度。

       对于这种检测，要求操作系统具有开放性和原码公开性。基于这种检测的主要是针对开发与原码的Linux系统。

       2)、基于知识的检测：

       基于知识的检测是指运用已知的方法，根据定义好的入侵模式，通过判断这些入侵模式是否出现来检测。

       因为有很大一部分的入侵是利用系统的脆弱性，所以通过分析入侵的特征、条件、排列以及相关事件就能描述入侵行为的迹象。

       这种方法是依据具体的特征库进行判断，所以检测准确度很高，误报率低、漏报率高。

       对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。