入侵检测的分类简要介绍了入侵检测的四种常用方法

入侵检测系统中使用的技术可分为两种类型：特征检测和异常检测。

1.特征检测。

基于签名的检测，也称为误用检测，假设入侵者活动可以用模式表示，并且系统的目标是检测受试者的活动是否符合这些模式。

它可以检查现有的入侵方法，但不能对新的入侵方法做任何事情。 挑战在于设计表达“入侵”现象的模式，而不包括正常活动。

2.异常检测。

异常检测基于入侵者的活动与正常对象的活动异常的假设。 根据这一概念，建立主体正常活动的“活动概况”，并将主体当前的活动状态与“活动概况”进行比较，当违反其统计规律时，可以认为该活动是“入侵”行为。

异常检测的挑战是如何构建“活动配置文件”以及如何设计统计算法，以便正常操作不被视为“入侵”或忽略真正的“入侵”。

根据系统各个模块的操作分布，可以使用入侵检测系统。

它分为以下两类。

1）集中式入侵检测系统。集中式入侵检测系统的各个模块，包括信息收集和数据分析以及响应单元，都运行在一台主机上，适用于网络环境相对简单的情况。

2）分布式入侵检测系统。分布式入侵检测系统是指系统各模块分布在网络中不同计算机和设备上，分布主要体现在数据采集模块上。

模块也根据分层原则进行分配和组织。

入侵检测的对象，即被检测的数据，根据被检测对象的不同，可分为基于主机的IDS和基于网络的IDS。 也有人说，这种分类是基于入侵检测的数据。

1）基于主机的IDS，英文称为host-besed IDS，在业内称为HDS。此IDS系统从主机获取数据。 它主要来自系统日志。

通过应用日志等渠道获取数据，分析判断是否存在入侵行为，从而保护系统主机的安全。

2）基于网络的IDS，业界称为NIDS，是系统获取数据的网络数据包。

它主要用于监控整个网络中传输的数据包并进行检测和分析，然后识别，如果出现可疑情况，入侵行为将立即报警，从而保护网络中运行的计算机。

根据入侵检测系统所采用的技术，可分为异常检测和误用检测。

入侵检测系统 （IDS） 是一种软件或硬件系统，用于检测网络或系统上未经授权的活动。 常用的检测方法包括：

1.基于规则的检测：基于规则的检测方法使用预定义的规则来检测攻击。 例如，如果在网络流量中检测到特定的弹簧串，则可以认为发生了攻击。

2.基于模式的检测：基于模式的检测使用预定义的模式来检测攻击行为。 例如，如果检测到网络流量中的特定数据包模式，则可以认为发生了攻击。

3.基于统计的检测：基于统计的检测方法使用统计分析来检测攻击。 例如，如果检测到网络流量中超出正常范围的数据包数量，则可以认为发生了攻击。

4.基于行为的检测：基于行为的检测使用系统或网络的正常行为作为基准，通过比较来检测异常行为。 例如，如果检测到系统文件已被修改或删除，则可以认为发生了攻击。

它分为两大类：2.检测方法分为一类：异常入侵检测和滥用入侵检测。

入侵检测系统（IDS）是一种网络安全设备，可实时监控网络传输，并在发现可疑传输时发出警报或采取主动响应措施。 IDS与其他网络安全设备的不同之处在于，IDS是一种主动安全保护技术。

IDS 于 1980 年 4 月首次出现。 在 1980 年代中期，IDS 演变为入侵检测专家系统 （IDES）。 1990年，IDS分为基于网络的IDS和基于主机的IDS。

后来，分布式IDS出现了。 目前，IDS正在快速增长，有人声称IDS可以完全取代防火墙。

技术部门。 1） 异常检测：检测与可接受行为之间的偏差。

如果每个可接受的行为都可以定义，那么每个不可接受的行为都应该是入侵。 首先总结正常操作应具有的特征（用户配置文件），当用户活动明显偏离正常行为时，会考虑入侵。 该检测模型具有低假阴性率和高假阳性率。

由于无需定义每个入侵行为，因此可以有效检测未知虚拟枣高度的入侵。

2）误用检测：检测与已知的不可接受行为之间的匹配程度。如果可以定义所有不可接受的行为，则每个可以匹配的行为量表都会引起警报。

收集异常操作的行为特征，建立相关特征数据库，当被监控的用户或系统行为与数据库中的记录匹配时，系统将该行为视为入侵。 该检测模型具有低误报率和高误报率。 对于已知攻击，它可以详细、准确地报告攻击类型，但对未知攻击的效果有限，并且特征库必须不断更新。

扩展：入侵检测是“通过对行为、安全日志或审计数据或网络上可用的其他信息的操作来检测入侵或试图闯入系统。 入侵检测是检测和响应计算机滥用的学科，包括威慑、检测、响应、损害评估、攻击**和起诉支持。