网络入侵是威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。入侵检测系统（英文称IDS：Intrusion Detection System）是自动进行入侵检测的监视和分析过程的硬件或软件产品。入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求。然而，随着基于内部人员的攻击行为和产品自身问题的增多，IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁，这些破坏行为也是防火墙无法抵御的。IDS已经成为企业网络安全防护系统的三大重要组成部分之一。

　　一、入侵检测系统基础原理

　　1、入侵检测系统的产品分类

　　根据采集数据源的不同，IDS可分为主机型入侵检测系统（Host-based IDS，简称HIDS）和网络型入侵检测系统（Network-based IDS，简称NIDS）。HIDS从主机/服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息。HIDS的检测引擎被称为主机代理，HIDS的主机代理安装在所保护的主机/服务器上，不同的操作系统平台需要不同的主机代理。NIDS直接从网络中采集原始的数据包。NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内，不占用网络资源，可以保护整个网段。

　　主机型入侵检测系统的特点：主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。主机型入侵检测系统安装在我们需要保护的设备上，这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。

　　网络型入侵检测系统的特点：网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。网络型入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络型入侵检测系统的传感器会使布署整个系统的成本大大增加。