入侵檢測系統（IDS）檢查所有進入和發出的網絡活動，并可確認某種可疑模式，IDS利用這種模式能夠指明來自試圖進入（或破壞系統）的某人的網絡攻擊（或系統攻擊）。入侵檢測系統與防火墻不同，主要在于防火墻關注入侵是為了阻止其發生。防火墻限制網絡之間的訪問，目的在于防止入侵，但并不對來自網絡內部的攻擊發出警報信號。而IDS卻可以在入侵發生時，評估可疑的入侵并發出警告。而且IDS還可以觀察源自系統內部的攻擊。從這個意義上來講，IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它采用靈活的基于規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，并成為防御技術的標準。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。如圖：

2.OSSEC HIDS：這一個基于主機的開源入侵檢測系統，它可以執行日志分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日志分析引擎，互聯網供應商、大學和數據中心都樂意運行OSSEC HIDS，以監視和分析其防火墻、IDS、Web服務器和身份驗證日志。如圖展示的是Windows平臺的OSSEC：

3.Fragroute/Fragrouter：是一個能夠逃避網絡入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改并重寫發往一臺特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一臺特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講，這個工具是用于協助測試網絡入侵檢測系統的，也可以協助測試防火墻，基本的TCP/IP堆棧行為。可不要濫用這個軟件呵。

4.BASE：又稱基本的分析和安全引擎，BASE是一個基于PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火墻、網絡監視工具所生成的安全事件數據。其特性包括一個查詢生成器并查找接口，這種接口能夠發現不同匹配模式的警告,還包括一個數據包查看器/解碼器，基于時間、簽名、協議、IP地址的統計圖表等。