问：有什么样的入侵检测系统？

　　答：入侵检测系统是历时最久并最普及的技术。入侵防御系统（IPS）比较新，产生的争论也很多。我将要讨论这两种工具都存在的子类。终于，一些防火墙厂商正在开始把这些技术合并到他们的产品中去。所有的这类产品应该有能力以某种方式向中央控制台报告，大量的这类产品也要实现中央管理。

　　入侵检测系统自从上个世纪80年代后期90年代早期就出现了，而且分为基于特征（Signature-based）的和基于异常（anomaly-based）的。基于特征的IDS的工作原理类似杀毒，查询和已知的恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统（核心）调用中的异常行为。他们进一步分为网络和基于主机的类型。现在的网络IDS（NIDS）嗅探一个单独的网段，通常使用混合特征和流量和/或协议异常检测。基于主机的IDS（HIDS）存在于独立的主机上，并监控系统记录，系统核心调用和/或不同的重要文件的改变的混合体。各种IDS的关键点是它只进行检测---这种事情已经发生过了。

　　入侵防御系统（IPS）和IDS的分类类似，也就是主机IPS（HIPS）和网络IPS（NIPS）。NIPS通常是内联（本质上就是smart bridge）这样它就可以阻止恶意流量通过网络。HIPS可能阻止一个应用程序或一个线路的有问题的和危险的行为。这是IPS的重点---如果他们阻止了非恶意事物，他们可以突破这些事物。

　　最后，防火墙传统上很少在应用层上操作，除非应用代理已经大部分干预了协议遵从。他们习惯于执行流量策略，关于有什么问题，责任在谁，如何执行。防火墙厂商正要开始把IDS特征匹配和其他技术混合进他们的产品中，这样就有能力创建防火墙和IPS的结合体 。

　　所有的这些技术在假阳性（良性事件的警告）和假阴性（错失新的和以前不知道的事件）方面声名狼藉。异常检测和查找系统调用中的真实恶意事件是两种对抗后者的方式。正在调整的和“目标”IDS是减少前者的方式。