入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。

    基于特征的IDS维护一个所有己知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的苜部字段值或数据中特定比特串,HM3-6514-9者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。

    基于特征的Ds只能检测已知攻击,对于未知攻击则束手无策。基于异常的IDs通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。例如,当攻击者在对内网主机进行

,ng搜索时,或导致ICMP ping报文突然大量增加,与正常的统计规律有明显不同。但区分正常流和统计异常流是一个非常困难的事情。至今为止,大多数部署的DS主要是基于特征的,尽管某些IDs包括了某些基于异常的特性。

    不论采用什么检测技术都存在“漏报”和“误报”情况。如果“漏报”率比较高,则只能检测到少量的入侵,给人以安全的假象。对于特定IDs,可以通过调整某些阈值来降低“漏报”率,但同时会增大“误报″率。“误报”率太大会导致大量虚假警报,网络管理员 需要花费大量时间分析报警信息,甚至会因为虚假警报太多而对报警“视而不见”,使DS形同虚设。