入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。

IDS就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求就是：IDS应当挂接在所有所关注流量都必须流经的链路上。

IDS的接入方式：并行接入(并联)

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源。

这些位置通常是：

• 服务器区域的交换机上
• 边界路由器的相邻交换机上
• 重点保护网段的局域网交换机上

• 网络入侵检测系统（NIDS）： 监测整个网络上的流量，检测与已知攻击模式相匹配的活动。
• 主机入侵检测系统（HIDS）： 安装在单个主机上，监测该主机上的活动，以检测是否有异常或潜在的入侵。
• 基于协议的入侵检测系统： 关注网络协议的使用，检测是否存在协议级别的异常活动。
• 基于应用协议的入侵检测系统： 专注于检测与特定应用程序协议相关的入侵行为。
• 混合入侵检测系统： 结合了多种入侵检测技术，以提高检测的准确性和全面性。

IDS的主要优点是能够提供深度的网络流量分析。它可以检测到一些防火墙可能无法识别的攻击，例如基于应用程序的攻击。然而，IDS不能阻止攻击，只能检测到攻击。

也可以通过检测方法对 IDS 进行分类。 最著名的变体是基于签名的检测（识别不良模式，例如恶意软件）和基于异常的检测（检测与良好流量模型的偏差，这通常依赖于机器学习）。 另一个常见的变体是基于信誉的检测（根据信誉分数识别潜在威胁）。 一些 IDS 产品具有响应检测到的入侵的能力。 具有响应能力的系统通常被称为入侵防御系统。 登录检测系统还可以通过使用自定义工具增强它们来满足特定目的，例如使用蜜罐来吸引和表征恶意流量。

入侵检测系统的架构

IETF将一个入侵检测系统分为四个组件：

事件产生器（Event generators），它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

事件分析器（Event analyzers），它经过分析得到数据，并产生分析结果。

响应单元（Response units ），它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

事件数据库（Event databases ）事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

入侵检测工作过程

入侵检测的部署

基于网络：

这种检测技术的优点主要有：

• 能够检测那些来自网络的攻击和超过授权的非法访问
• 不需要改变服务器等主机的配置，也不会影响主机性能；
• 风险低；
• 配置简单。

其缺点主要是：

• 成本高、检测范围受局限；
• 大量计算，影响系统性能；
• 大量分析数据流，影响系统性能；
• 对加密的会话过程处理较难；
• 网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；
• 无法检测加密的封包；对于直接对主机的入侵无法检测出。

基于主机：

这种检测方式的优点主要有：

• 信息更详细
• 误报率要低
• 部署灵活。

这种方式的缺点主要有：

• 会降低应用系统的性能；
• 依赖于服务器原有的日志与监视能力；
• 代价较大；
• 不能对网络进行监测；
• 需安装多个针对不同系统的检测系统。