摘要：入侵检测系统Intrusion Detection System（IDS），IDS本质上是一种监听系统，它依照一定的安全策略，对网络与系统的运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果，以保证信息系统的机密性、完整性和可用性。IDS可分为主机型HIDS和网络型NIDS，目前主流IDS产品均采用两者有机结合的混合型架构。

　　 IDS的传统优势
　　NIDS使用原始网络信息作为数据源，利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信，收集相关信息并记入日志；而HIDS则通常安装在被检测的主机之上，与该主机的网络实时连接，负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常，IDS会立即发出警报，由系统管理员进行决策处理。IDS的传统优势在于：
　　整体部署，实时检测，可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型，对用户当前的操作进行判断，及时发现入侵事件；
　　对于入侵与异常不必做出阻断通信的决定，能够从容提供大量的网络活动数据，有利于在事后入侵分析中评估系统关键资源和数据文件的完整性；
　　独立于所检测的网络，黑客难于消除入侵证据，便于入侵追踪与网络犯罪取证；
　　同一网段或者一台主机上一般只需部署一个监测点就近监测，速度快，拥有成本低。

　　IDS的明显缺陷
　　IDS最明显的缺陷有：
　　被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击，对于建立在UDP基础之上的入侵则无能为力；
　　基于特征的入侵检测技术落伍。由于缺少信息管理，难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透；
　　误报与漏报率高于客户预期。有些IDS产品每天会产生大量的异常报告，其中绝大多数属于非攻击行为，需要具有相当专业水准的网络安全管理员进行甄别，有时甚至会给客户造成难于忍受的负担；
　　对于检测主机的依赖性。由于HIDS安装于检测主机之上，不仅消耗检测对象的部分资源，影响到被检测主机的效率，而且还必須針对不同的主机及其系统环境设计和安装各自的HIDS。
　　责任编辑：Mary