入侵检测系统，浅析几个著名的入侵检测系统

原文:http://www.cuntuba520.net/xiaozhishi/2347367.html

一 > 浅析几个著名的入侵检测系统

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，入侵检测系统是一种积极主动的安全防护技术。

入侵检测系统（IDS）检查所有进入和发出的网络活动，并可确认某种可疑模式，IDS利用这种模式能够指明来自试图进入（或破坏系统）的某人的网络攻击（或系统攻击）。入侵检测系统与防火墙不同，主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问，目的在于防止入侵，但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时，评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲，IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。

1.Snort：这是一个几乎人人都喜爱的开源IDS，它采用灵活的基于规则的语言来描述通信，将签名、协议和不正常行为的检测方法结合起来。其更新速度极快，成为全球部署最为广泛的入侵检测技术，并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意，用户需要检查免费的BASE来分析Snort的警告。

2.OSSEC HIDS：这一个基于主机的开源入侵检测系统，它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外，它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎，互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS，以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter：是一个能够逃避网络入侵检测的工具箱，这是一个自分段的路由程序，它能够截获、修改并重写发往一台特定主机的通信，可以实施多种攻击，如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集，可以对发往某一台特定主机的数据包延迟发送，或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲，这个工具是用于协助测试网络入侵检测系统的，也可以协助测试防火墙，基本的TCP/IP堆栈行为。可不要滥用这个软件呵。

4.BASE：又称基本的分析和安全引擎，BASE是一个基于PHP的分析引擎，它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口，这种接口能够发现不同匹配模式的警告，还包括一个数据包查看器/解码器，基于时间、签名、协议、IP地址的统计图表等。

5.Sguil：这是一款被称为网络安全专家监视网络活动的控制台工具，它可以用于网络安全分析。其主要部件是一个直观的GUI界面，可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件，实现网络安全监视活动和IDS警告的事件驱动分析。

通过以上内容的介绍，相信大家对入侵检测系统已经有了一个大概的认识，科学技术还在不断地进步，入侵检测系统也会随之不断变革的。

二 > IDS入侵检测系统搭建(linux)

Snort 它是一个多平台的、实时流量分析的入侵检测系统（www.cuntuba520.net）。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统。

snort有三种工作模式：

1、嗅探器

嗅探器模式：是从网络上读取数据包并作为连续不断的流显示在终端上。

2、数据包记录器

数据包记录器：是把数据包记录到硬盘上。

3、网络入侵检测系统。

网路入侵检测：它是可配置的（所以会相对是比较复杂的）。

工作原理：

是因为能够对网络上的数据包进行抓包，但区别于嗅探器的它能够根据自定义规则来进行相应和处理。根据以下的规则有五种响应的机制。

Activation （报警并启动另外一个动态规则链）

Dynamic （由其它的规则包调用）

Alert （报警）

Pass （忽略）

Log （不报警但记录网络流量）

Snort通过在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包，抓包时需将网卡设置为混杂模式，根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包；然后将捕获的数据包送到包解码器进行解码。

Snort的运行：

主要是通过各插件协同工作才使其功能强大，所以在部署时选择合适的数据库，Web服务器，图形处理程序软件及版本也非常重要。

不足：

Snort之所以说他是轻量型就是说他的功能还不够完善，比如与其它产品产生联动等方面还有待改进；Snort由各功能插件协同工作，安装复杂，各软件插件有时会因版本等问题影响程序运行；Snort对所有流量的数据根据规则进行匹配，有时会产生很多合法程序的误报。

入侵检测系统：IDS

入侵防护系统：IPS

IDS是防护检测、IPS是防护功能；

SessionWall ：CA公司出品、图形界面、可以流量和程序全面监控通过报警和阻塞规则进行相应。

RealSecure ：ISS RealSecure是一种实时监控软件，它包含控制台、网络引擎和系统代理三个部分组成。RealSecure的模板包括安全事件模板、连接事件模板和用户定义事件模板。

IDS从本质上可以分成两类：网络型IDS(NIDS)和主机型IDS(HIDS)这两种IDS。

基于主机的叫HIDS （软件）snort（用于没有被防火墙检测出来的入侵）。需要安装到被保护的主机、（可以查看流量、日志、用户行为和一些文件）

基于网络的叫NIDS （硬件）神州数码 H3C 都有（硬件产品），安装需要和交换机来结合的；

工作原理：

IDS监听端口：（收集它所关心的报文

特征比较：IDS 提取的流量统计特征值、与特征库比对；

报警：匹配度较高的报文刘来那个将被认为是进攻，IDS将报警。

【信息的收集 --- 分析– 检测是否报警】

基于主机的应用检测；也只装在重要的主机上面。

基于网络的入侵检测：就要部署在网络设备上。

IDS的部署位置（snort）：

（ 如果没有装IDS 的只能依靠路由的基本设置来保护内网 ）

在linux下的应用：（示例）

平台：

Linux5.4

软件包：

adodb514.zip

（一种 PHP 存取数据库的中间函式组件、对php优化的一个数据库支持；）

base-1.4.5.tar.gz

（是一个用来查看Snort IDS告警的Web应用程序）

snort-2.8.0.1-1.RH5.i386.rpm

（入侵检测系统）

snort-mysql-2.8.0.1-1.RH5.i386.rpm

（snort与数据库结合器件）

snortrules-snapshot-2.8.tar.gz

（入侵检测规则库）

安装：

rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm

安装完成就可以直接来用行了；

在终端可直接执行指令：snort –v

如果在外网 ping 的时候、在这里就会有记录显示；（暂停 ctrl+Z ）

把这个进程杀掉：pkill -9 snort

然后还可以再使用jobs 查看一下是否被杀掉；

还可以使用 snort -vde （但是并没有MAC地址）

信息记录：snort -vde l ./ &/dev/null & 就可以记录了、

入侵规则库的应用：

cd /etc/snort/rules/ （在这文件夹下）

然后进行规则导入、因为是一个压缩包、直接解压到/etc/snort/目录下就可以了：

tar -zxvf snortrules-snapshot-2.8.tar.gz –C /etc/snort/

导入之后在来到 cd /setc/snort/rules/ 目录下查看；就会有很多规则了。

（软件的版本过旧相对的入侵规则库就很略不同 资源也会显的老旧 尽量随时更新）

规则的下一部分是协议：

Snort当前分析可疑包的ip协议有四种：TCP 、UDP 、ICMP 、IP ；

（也许不久发展还会有 ARP、IGRP、GRE、OSPF、RIP、IPX ）

如果检测的文件希望记录到数据里面；所以这个入侵检测系统搭建需要安装的软件还是比较多的：

mysql、apache、php、libpcap（linux下网络数据包捕获函数包)、adodb（可以对数据库优化）、snort（主程序）、base（是基本的分析和安全引擎）、-acid以项目的代码为基础、提供web的前端。

因为安装这些东西也尽可能是使用yum来装：

编辑本地yum：

vim /etc/yum.repos.d/rhel-debuginfo.repo

[rhel-server]

name=Red Haterprise Linux server

baseurl=file:///mnt/cdrom/

enabled=1

gpgcheck=1

gpgkey=file:///mnt/cdrom/RPM-GPG-KEY-redhat-relase

挂载光盘进行yum安装：

mkdir /mnt/cdrom

mount /dev/cdrom /mnt/cdrom/

yum 安装：

扩展：ids入侵检测系统 / ids入侵检测系统 品牌 / linux入侵检测系统

 

安装完成开启各种服务，然后chkconfig设置：

chkconfig httpd on

对于mysql需要设置口令（默认安装时是root用户是没有口令的）

mysqladmin–u root -p password ‘123’

再进一步在数据添加snort的数据库以及表格：

（因为我们期望检测的信息放到mysql数据库里面去、放到什么数据库、还要在进一步的设置）

连接到数据库： mysql -u root -p

create database snort;

（新建snort数据库）

use snort;

（ 使用snort数据库 ）

show tables;

（在此进行添加表格、每见一个表格、都要添加一个表格的框架；但是呢这里可以直接导入、都是一些创建表格的字段之类的 ）

导入表格：

chkconfig mysql on

（依然使用chkconfig设置）

然后还希望snort检测的协议数据是需放置在数据库里面的、因此还要安装一个东东：

就是 snort-mysql-2.8.0.1-1.RH5.i386.rpm 包

（ 一个snort与数据库的连接器件 ）

vim /etc/snort/snort.conf

更改一些量

更改完成之后可以再启动snort、（可以做一些细致的命令、做一些详细的截获、挂载规则库、信息输出）；然后可以看一下进程、是否已经启动了；

或者也可以用jobs 进行查看是否正在运行着；

升级安装 pear

（ 即：PHP扩展与应用库 ）

pear install --force PEAR-1.8.1 （系统连接到了互联网、直接就可以升级）

pear upgrade pear （然后再更新一次）

然后再安装一些模块；（图形化界面的一些模块）

安装adodb

adodb514.zip （ 它是用来对php优化的一个数据库支持 ）

解压先：unzip adodb514.zip

然后把它也移动到/var/www/html/adodb 这个目录下。

mv adodb5 /var/www/html/adodb ( 便于还可以做名称的更改 )

base安装

tar -zxvf base-1.4.5.tar.gz -C/var/www/html/

为方便操作可以更改一下名称:以后可以直接访问物理目录http://0.0.0.0/base

mv base-1.4.5/ base

然后再重新进入这个目录、还需要拷贝一些文件。

然后在/var/www/html/ 更改里面有个 base_conf.php 的配置文件；

更改之前仍需要作下base目录的权限设置：chmod o+w base/

就是这样：

（其实这个可以在网页之中直接进行设置、设置之后就形成了这个文件；通过物理访问http://192.168.1.101/base/setup/index.php 在里直接设置 ；但是呢有的可能默认设置的日志几倍太高、所以还需要编辑etc目录下的php.ini更改一下 ）

例如这样提示：

然后就需要 vim /etc/php.ini

既然这样更改了、就还需要把apache重启而后重新进入：

一共有5部安装；语言设置、adodb路径:

然后设置一些数据库的相关：

界面的管理设置用户与口令：

接着也就进入了基本的分析与安全引擎：（创建base AG）

进入第5部：看到检测的一些协议。

（当然这个没数据 是因为没运行 ）

重新启动、在做个Ping动作，新刷新一下网页：

或者利用工具做个端口扫描测试：

以上就是linux环境下 搭建IDS入侵检测系统简要流程

扩展：ids入侵检测系统 / ids入侵检测系统 品牌 / linux入侵检测系统

 

扩展：ids入侵检测系统 / ids入侵检测系统 品牌 / linux入侵检测系统

三 > 入侵检测系统

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

信息与计算科学系课程设计报告

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵检测系统（Intrusion Detection System），简称IDS。一个完整的入侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF（Common Intrusion Detection Frame,公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF）的体系结构

(1) 事件产生器（Event generators） 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

2

信息与计算科学系课程设计报告

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类

通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类

3.1 根据目标系统的类型分类

根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based）的入侵检测系统

通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构

(2) 基于网络（network-based）的入侵检测系统

基于网络的入侵检测系统使用原始网络数据包作为数据源。它通常利用一个运行

3

信息与计算科学系课程设计报告

在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构

3.2 根据入侵检测分析方法分类

根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）

误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。商用IDS多采用该种检测方法。

（2）异常入侵检测（anomaly-based）

异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS中。

3.3 根据检测系统各个模块运行的分布方式分类

根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统

4

信息与计算科学系课程设计报告

集中式IDS有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统

分布式IDS是将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS相比，分布式IDS对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法

(1) 根据入侵检测系统分析的数据来源分类

入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类

①主动的入侵检测系统系统。 在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出以及关闭相关服务等对策和响应措施。

②被动的入侵检测系统。检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。

4. 入侵检测系统的功能

4.1 入侵检测系统的主要功能：

(1) 监视并分析用户和系统的行为；

(2) 审计系统配置和漏洞；

(3) 评估敏感系统和数据的完整性；

(4) 识别攻击行为、对异常行为进行统计；

5

信息与计算科学系课程设计报告

(5) 自动收集与系统相关的补丁；

(6) 审计、识别、跟踪违反安全法规的行为；

(7) 使用诱骗服务器记录黑客行为；

4.2 入侵检测系统的功能结构

4.2.1 入侵检测系统的工作模式

入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应)，提高了信息安全基础结构的完整性。

入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。

无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下步骤。下图所示：

4.2.2 入侵检测系统的功能结构

一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器（Sensor）、分析器（Analyzer）和管理器（Menager）,如图4-2所示：

图 4-2入侵检测系统的功能结构

4.2.2.1 信息收集模块

感应器负责收集信息

6 图4-1 工作模式

信息与计算科学系课程设计报告

(1) 收集的数据内容

主机和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵信息

(2) 入侵检测系统的数据收集机制

基于主机的数据收集和基于网络的数据收集；分布式与集中式数据收集机制；直接监控和间接监控；外部探测器和内部探测器

4.2.2.2 数据分析模块

分析器从许多感应器接受信息，并对这些信息进行分析以决定是否有入侵行为发生，就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断

4.2.2.3 入侵响应模块

管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数，从而对入侵行为进行检测以及相应措施进行管理。

一个好的IDS应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。

(1) 主动响应

系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。

(2) 被动响应

在被动响应系统中，系统只报告和记录发生的事件。

5. 入侵检测器的部署

对于入侵检测系统来说，其类型不同，应用环境不同，部署方案也就会有所差别。

5.1在基于网络的IDS中部署入侵检测器

基于网络的IDS主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体可安排在下图中的几个位置：

7

信息与计算科学系课程设计报告

检测器(3)(4) 检测器

(1) 检测器(2)(4)

图5-1基于网络的IDS中部署入侵检测器

其中，检测器可安放的位置: DMZ(DeMilitarized Zone,隔离区)也称“非军事化区”；内网主干(防火墙内侧)；外网入口(防火墙外侧)；在防火墙的内外都放置；关键子网

5.2在基于主机的IDS中部署入侵检测器

基于主机的IDS通常是一个程序，部署在最重要、最需要保护的主机上用于保护关键主机或服务器。

6. 入侵检测系统的发展方向及评估

6.1 入侵检测系统

(1)入侵检测系统的优点：

提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟 踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。

(2) 入侵检测系统的局限：

8

信息与计算科学系课程设计报告

在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安策略 的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；

6.2 近年对入侵检测系统有几个主要发展方向

(1) 分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2) 应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3) 智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术(模式识别和完整性检测)外，应重点加强统计分析的相关技术研究。

参考文献：

［1］ 曹元大.入侵检测技术［M］.第1版.北京：人民邮电出版社，2007.

［2］ 何新权.计算机等级教程［M］.第2012年版.北京：高等教育出版社，1957.

［3］ 刘远生.网络安全实用教程［M］.第2011年版.北京：人民邮电出版社，2011.

［4］ 唐正军.入侵检测系统技术导论[M] .北京：机械工业出版社,2004.

[5］ 宋劲松.网络入侵检测[M] .北京：国防工业出版社,2004.9。

[6］ 刘文涛.网络安全开发包详解[M] .北京：电子工业出版社,2005.

[7］ 张世斌.网络安全技术[M] .北京：清华大学出版社,2004.

[8］ 谢希仁.计算机网络[M] .北京：电子工业出版社,2003.

入侵检测系统是探测计算机网络攻击行为的软件或硬件。它作为防火墙的合理补充，可以帮助网络管理员探查进入网络的入侵行为，从而扩展了系统管理员的安全管理能力。它与其他网络安全设备的不同之处在于，IDS一种积极主动的安全防护技术。

入侵检测系统通常包括三个功能模块：信息收集模块、入侵分析模块和响应模块。

（1）信息收集模块

入侵检测的第一步是信息收集。收集的内容包括系统、网络、数据及用户活动的状态和行为。通常需要在计算机网络系统中的若干不同关键点，不同网段和不同主机收集信息， 这除了尽可能扩大检测范围的因素外。还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。

（2）入侵分析模块

一般通过模式匹配、统计分析和完整性分析三种技术手段对收集到的系统、网络、数据及用户活动的状态和行为等信息进行分析，其中前两种方法用于实时入侵检测，而完整性分析则用于事后分析。

（3）响应模块

响应方式分为主动响应和被动响应。

被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。

主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统。