入侵检测系统：以你的网络接口为界线，对入侵行为进行检查。

只有发现功能，没有处理功能。

工作原理：

1：信息采集 

 对网络的信息采集，对自己的信息采集

2：入侵判断

发展历史：

1980，才有这个概念

1986，IBM  开发discovery的系统（基于主机的入侵检测的模型）

1988，整个计算机办法了蠕虫病毒

1990，基于网络的入侵检测

1991，收集和合并来自与多个系统的特征

1995，NIDS

入侵检测系统的功能

检测系统配置的安全性，检查数据的一致性，对操作系统的审计

入侵检测系统的分类

采用的技术分类：异常检测和特征检测

原始数据的来源：基于主机的（一定是滞后的，一定是发生的）和基于网络的入侵检测（共享网段，能发生信道共享的，没有必要考虑系统，只要协议一样，数据包是一样的）和分布式的和基于节点的

根据工作方式：离线和在线

入侵检测系统技术实现

广泛的收集信息：利用信息的来源：系统的认证；记录文件的异样；物理形式的异常；

模式匹配（数据完整，算法合适），统计分析；完整性分析（文件和对象是否被更改过）；模式匹配

入侵检测系统模型：事件检测器，模式匹配，响应单元，数据库

入侵检测系统的产品