入侵檢測系統(tǒng)是為保障計算機系統(tǒng)的安全而設(shè)計的， 它通過收集和分析網(wǎng)絡行為、安全日志、等其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息， 檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的和被攻擊的跡象，它對系統(tǒng)中未授權(quán)用戶的攻擊、外部攻擊和異?，F(xiàn)象的操作有實時的保護作用， 能在網(wǎng)絡系統(tǒng)受到危害之前進行檢測和攔截。在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡時行監(jiān)測， 入侵檢測是防火墻的合理補充， 幫助系統(tǒng)對付網(wǎng)絡攻擊。擴展了系統(tǒng)管理員的安全管理能力。^[1]

　　1．按照分析方法分

　　(1)異常檢測：該檢測方法是總結(jié)正常操作所具有的特征并用定量的方法加以描述， 當用戶的活動與正常行為有很大的偏差時就認為是入侵。該方法的優(yōu)點是不需要保存各種攻擊特征的數(shù)據(jù)庫， 隨著統(tǒng)計數(shù)據(jù)的增加， 其檢測的準確性也增高，由于用戶的行為不容易在范圍內(nèi)， 當出錯的概率比較大時， 它只能說明系統(tǒng)有可能發(fā)生了異常的情況， 不一定是受到了攻擊，這給管理帶來了很大的困難。

　　(2)誤用檢測： 該檢測方法是收集整理非正常操作的行為特征，并建立特征庫，當檢測的系統(tǒng)行為與庫中的記錄相匹配時，就認為是入侵。

　　2．按照數(shù)據(jù)來源分

　　(1)基于主機的入侵檢測系統(tǒng)

　　系統(tǒng)的數(shù)據(jù)主要來自操作系統(tǒng)跟蹤日志、審計記錄和主動與主機系統(tǒng)進行交互而獲得不存在于系統(tǒng)日志中的信息。它通過監(jiān)視系統(tǒng)運行情況來檢測入侵。這種類型的檢測系統(tǒng)不需要額外的硬件。對網(wǎng)絡流量不敏感， 效率高， 能準確定位入侵并及時進行反應， 但能檢測到的攻擊類型有限， 且占用主機資源， 依賴于主機的可靠住，不能檢測網(wǎng)絡攻擊。

　　(2)基于網(wǎng)絡的入侵檢系統(tǒng)

　　網(wǎng)絡入侵檢測系統(tǒng)的數(shù)據(jù)來源為原始的網(wǎng)絡分組數(shù)據(jù)包。它通過在計算機網(wǎng)絡中的某些點被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑剂髁浚瑢Λ@取的網(wǎng)絡數(shù)據(jù)進行處理，從中提取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡行為原型相比較來識別攻擊事件。它的優(yōu)勢在于它的實時性， 當檢測到攻擊時，就能很快做出反應。另外它可以通過在一個點上監(jiān)測整個網(wǎng)絡中的數(shù)據(jù)包，并且它在檢測網(wǎng)絡包時并不依靠操作系統(tǒng)來提供數(shù)據(jù)。但它的缺點是只能檢測經(jīng)過本網(wǎng)段的數(shù)據(jù)流，無法了解主機內(nèi)部的安全情況，而且網(wǎng)絡傳輸?shù)乃俣瓤?，流量大，從而導致檢測的精確度較差， 以致于漏檢。

　　3．按照體系結(jié)構(gòu)分

　　(1)集中式：它只有一個中央入侵檢測服務器， 多個分布于不同主機上的審計程序把當?shù)厥占降臄?shù)據(jù)發(fā)給這個入侵檢測服務器，服務器對發(fā)來的數(shù)據(jù)進行分析并處理。它伸縮性強，但是配置性較差。

　　(2)分布式：它將中央檢測服務器的任務分配給多個主機入侵檢測系統(tǒng)， 負責監(jiān)視當?shù)刂鳈C的一切活動。但是它的維護成本較高，主機的工作負擔較重。

　　4．按照工作方式分

　　(1)離線檢測： 是在行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析，這種檢測方式不能及時的保護系統(tǒng)，但是成本低，能對大量的事件做長期的分析。

　　(2)在線檢測：在監(jiān)測數(shù)據(jù)產(chǎn)生的同時數(shù)據(jù)進行分析，這種檢測方式能及時保護系統(tǒng)，反應靈敏。