入侵检测系统的分类及功能

据其采用的技术可以分为异常检测和特征检测。

异常检测，异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的活动简档，当前主体的活动违反其统计规律时，认为可能是入侵行为。通过检测系统的行为或使用情况的变化来完成。特征检测，特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。协议分析，利用网络协议的高度规则性快速探测攻击的存在。根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行检查。在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。