1 概念

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

2 发展历程

IDS最早出现在1980年4月。

1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。

1990年，IDS分化为基于网络的IDS和基于主机的IDS。

后又出现分布式IDS。

IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

3 简介

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。

以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。

4 分类

NIDS

HIDS

SIDS

AIDS

5 工业产品一般具备的能力

入侵检测技术对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计，可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行检测。通过对内外部用户的网络行为进行解析、记录、汇报，实现事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

功能：日志报表、流量检测、应用深度识别、自定义应用