入侵檢測系統(tǒng)(IDS，Intrusion Detection System)是為保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全而設(shè)計(jì)的一種用于檢測違反安全策略行為的技術(shù)，它能夠及時(shí)發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)中未授權(quán)的訪問或異?，F(xiàn)象。違反安全策略的行為，主要是指入侵和濫用——通常將非法用戶的違規(guī)訪問行為稱為入侵，將合法用戶的違規(guī)訪問行為稱為濫用。

入侵檢測使用兩種基本的檢測技術(shù)：特征檢測與異常檢測。前者常常是對網(wǎng)上流動(dòng)的數(shù)據(jù)內(nèi)容進(jìn)行分析，找出“黑客”攻擊的表征。后者往往是對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行分析，找出表現(xiàn)異常的網(wǎng)絡(luò)通信。功能簡單的入侵檢測系統(tǒng)可能只使用這兩種技術(shù)中的一種。

特征檢測(Signature-based detection)又稱為Misuse detection，它假設(shè)入侵者的活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測所發(fā)現(xiàn)的活動(dòng)是否符合這些模式。常用的特征檢測是在網(wǎng)上傳遞的信息內(nèi)容中尋找特定的字符序列，這些字符序列是在已知的入侵實(shí)例中使用過的。例如，通信特征檢測判讀的是進(jìn)入系統(tǒng)的數(shù)據(jù)包的“信封”，但是不讀信件內(nèi)容。數(shù)據(jù)包的“信封”上除地址之外還包括其他一些內(nèi)容。通過對信封上信息的判讀，可以發(fā)現(xiàn)與入侵行為相關(guān)的某些特征。然而在這些特征當(dāng)中，只有很小一部分可以通過分析立即得出確定的結(jié)論，其他則需要對大量數(shù)據(jù)進(jìn)行相關(guān)分析。特別是對網(wǎng)絡(luò)中不同時(shí)間點(diǎn)，不同空間點(diǎn)上的數(shù)據(jù)進(jìn)行相關(guān)分析。在實(shí)現(xiàn)上有相當(dāng)?shù)碾y度。另外，Internet上信息的傳輸是通過將大段的信息分割為尺寸很小的數(shù)據(jù)“碎片”打包實(shí)現(xiàn)的，一個(gè)文件往往被分割在許多數(shù)據(jù)包中發(fā)送到網(wǎng)上，而每個(gè)數(shù)據(jù)包獨(dú)立在網(wǎng)上傳送，不考慮它與其他數(shù)據(jù)包的時(shí)間次序或其他關(guān)系。僅當(dāng)?shù)竭_(dá)了目的地之后，這些數(shù)據(jù)包中的“碎片”才被重新裝配起來。出于對處理效率和開銷的考慮，許多入侵檢測產(chǎn)品都不進(jìn)行“碎片裝配”工作，這不能不使這些產(chǎn)品尋找攻擊特征的能力受到一些限制。特征檢測能夠?qū)⒁延械娜肭址椒z查出來，但對新的入侵方法往往無能為力，其難點(diǎn)在于如何設(shè)計(jì)一種有效的模式：既能夠表達(dá)“入侵”現(xiàn)象義不會(huì)將正常的活動(dòng)包含進(jìn)來。

異常檢測(Anomaly detection)的假設(shè)是入侵者活動(dòng)異常于正常用戶的活動(dòng)。根據(jù)這個(gè)假設(shè)建立用戶正?；顒?dòng)的“規(guī)律簡檔”。系統(tǒng)將當(dāng)前檢測到的用戶活動(dòng)狀況與“規(guī)律簡檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“規(guī)律簡檔”，以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。