当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。ADF4111BRUZ这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。基于特征的Ds只能检测已知攻击,对于未知攻击则束手无策。基于异常的IDs通过

观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。例如,当攻击者在对内网主机进行,ng搜索时,或导致ICMP ping报文突然大量增加,与正常的统计规律有明显不同。但区分正常流和统计异常流是一个非常困难的事情。至今为止,大多数部署的DS主要是基于特征的,尽管某些IDs包括了某些基于异常的特性。不论采用什么检测技术都存在“漏报”和“误报”情况。如果“漏报”率比较高,则只能检测到少量的入侵,给人以安全的假象。对于特定IDs,可以通过调整某些阈值来降低“漏报”率,但同时会增大“误报″率。“误报”率太大会导致大量虚假警报,网络管理员需要花费大量时间分析报警信息,甚至会因为虚假警报太多而对报警“视而不见”,使DS形同虚设。