入侵檢測技術(shù)是當今一種非常重要的動態(tài)安全技術(shù)，如果與 “傳統(tǒng) ”的 靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護水平。

　　1、入侵檢測的內(nèi)容。關(guān)于入侵檢測的 “定義 ”已有數(shù)種，其中ICSA入侵檢測系統(tǒng)論壇的定義即：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象(的一種安全技術(shù))。入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)。

　　目前，利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR（Policy Protection Detection Response）安全模型，已經(jīng)可以深入地研究入侵事件、入侵手段本身及被入侵目標的漏洞等。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)，從理論的分析方式上可分為兩種相異的分析技術(shù)：(1)異常發(fā)現(xiàn)技術(shù)。(2)模式發(fā)現(xiàn)技術(shù)。

　　目前，國際頂尖的入侵檢測系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。IDS一般從實現(xiàn)方式上分為兩種：基于主機的IDS和基于網(wǎng)絡(luò)的IDS。一個完備的入侵檢測系統(tǒng)IDS一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。另外，能夠識別的入侵手段的數(shù)量多少，最新入侵手段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標。從具體工作方式上看，絕大多數(shù)入侵檢測系統(tǒng)都采取兩種不同的方式來進行入侵檢測：基于網(wǎng)絡(luò)和基于主機的。不管使用哪一種工作方式，都用不同的方式使用了上述兩種分析技術(shù)，都需要查找攻擊簽名（Attack Signature）。所謂攻擊簽名，就是用一種特定的方式來表示已知的攻擊方式。

　　2.基于網(wǎng)絡(luò)的IDS?；诰W(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊作出反應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點有：（1）成本低。（2）攻擊者轉(zhuǎn)移證據(jù)很困難。(3)實時檢測和應(yīng)答一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地作出反應(yīng)。從而將入侵活動對系統(tǒng)的破壞減到最低。(4)能夠檢測未成功的攻擊企圖。(5)操作系統(tǒng)獨立?；诰W(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為檢測資源。而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。

　　3.基于主機的IDS?；谥鳈C的IDS一般監(jiān)視Windows NT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動。

　　基于主機的IDS的主要優(yōu)勢有：(1)非常適用于加密和交換環(huán)境。(2)近實時的檢測和應(yīng)答。(3)不需要額外的硬件。

　　4.集成化:IDS的發(fā)展趨勢?；诰W(wǎng)絡(luò)和基于主機的IDS都有各自的優(yōu)勢，兩者相互補充。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。從某個重要服務(wù)器的鍵盤發(fā)出的攻擊并不經(jīng)過網(wǎng)絡(luò)，因此就無法通過基于網(wǎng)絡(luò)的IDS檢測到，只能通過使用基于主機的IDS來檢測。基于網(wǎng)絡(luò)的IDS通過檢查所有的包首標（header）來進行檢測，而基于主機的IDS并不查看包首標。許多基于IP的拒絕服務(wù)攻擊和碎片攻擊，只能通過查看它們通過網(wǎng)絡(luò)傳輸時的包首標才能識別。基于網(wǎng)絡(luò)的IDS可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別。而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。聯(lián)合使用基于主機和基于網(wǎng)絡(luò)這兩種方式能夠達到更好的檢測效果。比如基于主機的IDS使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準確性。在這方面，基于主機的IDS對基于網(wǎng)絡(luò)的IDS是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的IDS提供早期報警，而使用基于主機的IDS來驗證攻擊是否取得成功。

　　在下一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強大，而且部署和使用上也更加靈活方便。

　　5.選擇合適的IDS。
　　這幾年有關(guān)入侵檢測的產(chǎn)品發(fā)展比較快，現(xiàn)在比較流行的入侵檢測系統(tǒng)（IDS）也比較多，其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的檢測方法。

　　NetRanger:與路由器結(jié)合。Cisco的NetRanger是當前性能最好的IDS之一。NetRanger使用一個引擎/控制模型，它幾乎能夠檢測到當前已知的各種攻擊。