入侵檢測(cè)方法一般可以分為基于特征的入侵檢測(cè)和基于異常的入侵檢測(cè)兩種。

    基于特征的IDS維護(hù)一個(gè)所有己知攻擊標(biāo)志性特征的數(shù)據(jù)庫(kù)。每個(gè)特征是一個(gè)與某種入侵活動(dòng)相關(guān)聯(lián)的規(guī)則集,這些規(guī)則可能基于單個(gè)分組的苜部字段值或數(shù)據(jù)中特定比特串,HM3-6514-9者與一系列分組有關(guān)。當(dāng)發(fā)現(xiàn)有與某種攻擊特征匹配的分組或分組序列時(shí),則認(rèn)為可能檢測(cè)到某種入侵行為。這些特征和規(guī)則通常由網(wǎng)絡(luò)安全專家生成,機(jī)構(gòu)的網(wǎng)絡(luò)管理員定制并將其加入到數(shù)據(jù)庫(kù)中。

    基于特征的Ds只能檢測(cè)已知攻擊,對(duì)于未知攻擊則束手無(wú)策�；诋惓５腎Ds通過(guò)觀察正常運(yùn)行的網(wǎng)絡(luò)流量,學(xué)習(xí)正常流量的統(tǒng)計(jì)特性和規(guī)律,當(dāng)檢測(cè)到網(wǎng)絡(luò)中流量某種統(tǒng)計(jì)規(guī)律不符合正常情況時(shí),則認(rèn)為可能發(fā)生了入侵行為。例如,當(dāng)攻擊者在對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行

,ng搜索時(shí),或?qū)е翴CMP ping報(bào)文突然大量增加,與正常的統(tǒng)計(jì)規(guī)律有明顯不同。但區(qū)分正常流和統(tǒng)計(jì)異常流是一個(gè)非常困難的事情。至今為止,大多數(shù)部署的DS主要是基于特征的,盡管某些IDs包括了某些基于異常的特性。

    不論采用什么檢測(cè)技術(shù)都存在“漏報(bào)”和“誤報(bào)”情況。如果“漏報(bào)”率比較高,則只能檢測(cè)到少量的入侵,給人以安全的假象。對(duì)于特定IDs,可以通過(guò)調(diào)整某些閾值來(lái)降低“漏報(bào)”率,但同時(shí)會(huì)增大“誤報(bào)″率。“誤報(bào)”率太大會(huì)導(dǎo)致大量虛假警報(bào),網(wǎng)絡(luò)管理員 需要花費(fèi)大量時(shí)間分析報(bào)警信息,甚至?xí)驗(yàn)樘摷倬瘓?bào)太多而對(duì)報(bào)警“視而不見(jiàn)”,使DS形同虛設(shè)。