入侵檢測(cè)系統(tǒng)是為保障計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)的， 它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、等其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息， 檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的和被攻擊的跡象，它對(duì)系統(tǒng)中未授權(quán)用戶的攻擊、外部攻擊和異常現(xiàn)象的操作有實(shí)時(shí)的保護(hù)作用， 能在網(wǎng)絡(luò)系統(tǒng)受到危害之前進(jìn)行檢測(cè)和攔截。在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)時(shí)行監(jiān)測(cè)， 入侵檢測(cè)是防火墻的合理補(bǔ)充， 幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展了系統(tǒng)管理員的安全管理能力。^[1]

　　1．按照分析方法分

　　(1)異常檢測(cè)：該檢測(cè)方法是總結(jié)正常操作所具有的特征并用定量的方法加以描述， 當(dāng)用戶的活動(dòng)與正常行為有很大的偏差時(shí)就認(rèn)為是入侵。該方法的優(yōu)點(diǎn)是不需要保存各種攻擊特征的數(shù)據(jù)庫(kù)， 隨著統(tǒng)計(jì)數(shù)據(jù)的增加， 其檢測(cè)的準(zhǔn)確性也增高，由于用戶的行為不容易在范圍內(nèi)， 當(dāng)出錯(cuò)的概率比較大時(shí)， 它只能說(shuō)明系統(tǒng)有可能發(fā)生了異常的情況， 不一定是受到了攻擊，這給管理帶來(lái)了很大的困難。

　　(2)誤用檢測(cè)： 該檢測(cè)方法是收集整理非正常操作的行為特征，并建立特征庫(kù)，當(dāng)檢測(cè)的系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，就認(rèn)為是入侵。

　　2．按照數(shù)據(jù)來(lái)源分

　　(1)基于主機(jī)的入侵檢測(cè)系統(tǒng)

　　系統(tǒng)的數(shù)據(jù)主要來(lái)自操作系統(tǒng)跟蹤日志、審計(jì)記錄和主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互而獲得不存在于系統(tǒng)日志中的信息。它通過(guò)監(jiān)視系統(tǒng)運(yùn)行情況來(lái)檢測(cè)入侵。這種類型的檢測(cè)系統(tǒng)不需要額外的硬件。對(duì)網(wǎng)絡(luò)流量不敏感， 效率高， 能準(zhǔn)確定位入侵并及時(shí)進(jìn)行反應(yīng)， 但能檢測(cè)到的攻擊類型有限， 且占用主機(jī)資源， 依賴于主機(jī)的可靠住，不能檢測(cè)網(wǎng)絡(luò)攻擊。

　　(2)基于網(wǎng)絡(luò)的入侵檢系統(tǒng)

　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源為原始的網(wǎng)絡(luò)分組數(shù)據(jù)包。它通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)中的某些點(diǎn)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來(lái)識(shí)別攻擊事件。它的優(yōu)勢(shì)在于它的實(shí)時(shí)性， 當(dāng)檢測(cè)到攻擊時(shí)，就能很快做出反應(yīng)。另外它可以通過(guò)在一個(gè)點(diǎn)上監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)包，并且它在檢測(cè)網(wǎng)絡(luò)包時(shí)并不依靠操作系統(tǒng)來(lái)提供數(shù)據(jù)。但它的缺點(diǎn)是只能檢測(cè)經(jīng)過(guò)本網(wǎng)段的數(shù)據(jù)流，無(wú)法了解主機(jī)內(nèi)部的安全情況，而且網(wǎng)絡(luò)傳輸?shù)乃俣瓤?，流量大，從而?dǎo)致檢測(cè)的精確度較差， 以致于漏檢。

　　3．按照體系結(jié)構(gòu)分

　　(1)集中式：它只有一個(gè)中央入侵檢測(cè)服務(wù)器， 多個(gè)分布于不同主機(jī)上的審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)發(fā)給這個(gè)入侵檢測(cè)服務(wù)器，服務(wù)器對(duì)發(fā)來(lái)的數(shù)據(jù)進(jìn)行分析并處理。它伸縮性強(qiáng)，但是配置性較差。

　　(2)分布式：它將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)主機(jī)入侵檢測(cè)系統(tǒng)， 負(fù)責(zé)監(jiān)視當(dāng)?shù)刂鳈C(jī)的一切活動(dòng)。但是它的維護(hù)成本較高，主機(jī)的工作負(fù)擔(dān)較重。

　　4．按照工作方式分

　　(1)離線檢測(cè)： 是在行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析，這種檢測(cè)方式不能及時(shí)的保護(hù)系統(tǒng)，但是成本低，能對(duì)大量的事件做長(zhǎng)期的分析。

　　(2)在線檢測(cè)：在監(jiān)測(cè)數(shù)據(jù)產(chǎn)生的同時(shí)數(shù)據(jù)進(jìn)行分析，這種檢測(cè)方式能及時(shí)保護(hù)系統(tǒng)，反應(yīng)靈敏。