第16章入侵检测技术的原理与应用PPT课件

实施效果
经过一段时间的实施，企业的网络安全得到了显著提升，未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击，保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全，需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性，对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统，企业可以实时监测 网络流量和异常行为，及时发现并应对潜在的安全威胁，保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性，以满足企业不断增长的网络规模和安全需 求。同时，企业需要制定完善的安全策略和应急响应计划，确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转，因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性，以满足政府机构 对安全性的高要求。同时，政府机构 需要加强与其他安全机构的合作，共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。

总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法， 能够从大量数据中提取有用的信息，并自动学习攻击手段 的变化，从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据，因此对系统 资源的要求较高，需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据，提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护，但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析，但需要安装在 被保护的主机上，且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据，检测 和识别异常的网络行为，如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警，但需要部署 在网络的关键节点上，且对网络
通过检测和应对安全威胁，入侵检测 技术有助于提高网络和系统的安全性 ，保护组织的机密信息和资产。

如何维护和管理入侵检测系统
定期更新系统：确保系统始终处于最新状态，以应对不断变化的威胁 监控系统运行状态：实时监控系统运行状态，及时发现并解决异常情况 定期备份数据：定期备份系统数据，以防数据丢失或损坏 培训员工：对员工进行系统使用和维护的培训，提高员工的安全意识和操作技能
THANKS
汇报人：
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全： 及时发现并阻 止网络攻击， 保护网络和数
据安全
提高系统稳定 性：及时发现 并修复系统漏 洞，提高系统 稳定性和可靠
性
降低损失：及 时发现并阻止 网络攻击，降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率：评估系统对入侵行为的检测能 力
误报率：评估系统对正常行为的误报情 况
响应时间：评估系统对入侵行为的响应 速度
兼容性：评估系统与其他安全设备的兼 容性
易用性：评估系统的操作简便性和用户 友好性
成本：评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统：根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策：政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能：系统的检测范围和功能是否满 足需求
兼容性：系统与其他安全设备的兼容 性
价格：系统的价格是否在预算范围内 易用性：系统的操作是否简单易用 售后服务：系统的售后服务是否完善
实时监控：能够实时监控网络流量，及时发现异常行为 智能分析：利用机器学习和人工智能技术，提高检测精度 自动响应：能够自动响应入侵行为，如阻断攻击、报警等 降低风险：减少网络攻击带来的损失，提高网络安全性

第1章 入侵检测概述
曹元大主编，人民邮电出版社，2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击，使它 们发挥正常，保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预，不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况，来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy（安全策略） Protection（防护） Detection（检测） Response（响应）
从1996年到1999年，SRI开始EMERALD的研究，它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 （DIDS）最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术， 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面

➢进行入侵检测的软件与硬件的组合便是入侵检测系统
入侵检测产品的起源
➢审计技术：产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标：
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统，为什么还 需要安装入侵检测系统？
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术，它们主要是 基于各种形式的静态禁止策略，对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制， 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况，来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量，对获取的网络 数据包进行分析处理，从中获取有用的信息，以识别、 判定攻击事件。
HIDS：基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入，试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节：攻击的一般步骤
恶意用户为什么总是能成功入侵系统？前提 条件就是系统的安全问题有漏洞，没有百 分百的安全。任何系统都会有这样那样的 弱点，即时使用了最新的技术，但由于系 统的用户的错误操作也会使系统产生漏洞。

二、入侵检测系统的分类
3. 分布式入侵检测系统（DIDS）
三、入侵检测系统技术原理
检测技术
基于特征（Signature-based）
维护一个入侵特征知识库 准确性高
基于异常（Anomaly-based）
统计模型 专家系统 误报较多
三、入侵检测系统技术原理
1、网络入侵检测
>>detaile
二、入侵检测系统的分类
入侵检测系统(Intrusion Detection System)通过从计算机网络或计算机系 统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。
从技术上看，这些产品基本上分为以下几类： 基于网络的入侵检测系统(NIDS) 基于主机的入侵检测系统(HIDS) 分布式入侵检测系统(DIDS)
1) 检测入侵误报率低 2) 获取入侵信息详细 3) 不受交换环境影响 4) 监测系统内部入侵和违规操作 5) 可以对本机进行防护和阻断
主机入侵检测系统的弱点：
1) 主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。 2) 会影响保护设备的性能。 3) 安装管理麻烦。 4) 操作系统局限 5) 系统日志限制 6) 被修改过的系统核心能够骗过文件检查
安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载
三、入侵检测系统技术原理
1、网络入侵检测系统技术原理
黑客入侵 的过程 和阶段
阶段1:
踩点&扫描
阶段 2:
边界渗透
阶段 3:
攻击&资源控制
Automated Scanning &

..........
10
IDS的功能与作用
• 鉴别对系统漏洞及后门的利用 。 • 完善网络安全管理。 IDS通过对攻击或入侵的
检测及反应，可以有效地发现和防止大部分的 网络入侵或攻击行为，给网络安全管理提供了 一个集中、方便、有效的工具。使用IDS系统 的监测、统计分析、报表功能，可以进一步完 善网管。
• 1998年， Ross Anderson和 Abida Khattak将 信息检索技术引进到 了入侵检测系统。
• 中国的IDS也得到了长足的发展。据 IDC的报告， 2000年中国安全 市场中， IDS与评估软件占了 19%的份额。 IDC在 2001年 4月的调 查显示，用户接下来对网络安全产品的需求中，对 IDS的需求占 到了 18.5%。从厂商方面来说，从 1999年前后，国外一些软件商 开始将其 IDS引入到国内，如安氏、 CA、 NAI、赛门铁克等。国 内如冠群金辰、金诺网安 等也占据着该市场的较大份额。
..........4年，Mark Crosbie 和Gene Spafford建议 使用自治 代理 (Autonomous Agents)以便提高 IDS的可伸缩性、 可维护性、效率和容错性。
• 1995年， IDES后续版本──NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵。
..........
4
IDS的发展史
• 1987年，Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型，首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出。
• 1988年， Morris Internet蠕虫事件使得 Internet约 5天 无法正常使用，该事件导致了许多 IDS系统的开发研制。 Teresa Lunt等人进一步改进了Dennying提出的入侵检 测模型，并创建了 IDES(Intrusion Detection Expert System)，它提出了与系统平台无关的实时检测思想。

4.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展，网络范围的拓宽，各种分布式网 络技术、网络服务的发展，使原来的网络入侵检测很难适 应现在的状况。因此有必要把检测分析过程也实现分布化。 在分布式结构中，n个检测器分布在网络环境中，直接接 受sensor（传感器）的数据，有效的利用各个主机的资源， 消除了集中式检测的运算瓶颈和安全隐患；同时由于大量 的数据用不着在网络中传输，大大降低了网络带宽的占用， 提高了系统的运行效率。
除了以上两类主要数据分析技术外，研究人员还提出了 一些新的分析技术，如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分，入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说，入侵检测系统可以分为两个部分：收集系 统和非系统中的信息然后对收集到的数据进行分析，并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自：系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息，是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测，完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足，加上新型的分布式 入侵和攻击行为的频繁出现，所以一种新型的入侵检测技 术就诞生了，那就是分布式入侵检测系统（DIDS）。它包 括两方面的含义：首先它是针对分布式网络攻击的检测方 法；其次使用分布式方法检测分布式的攻击，其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。

后再从中选出最适合的规则进行推理，得出判断结论。
入侵行为一般不会通过一条规则就被发现，一条规则判断
完成，其结果可以作为新的事实加入到已有事实的集合中，
和其它事实和信息一道可能又会引起新的规则的执行；
如此往复，直到没有新的规则被执行，对入侵行为的检测
才结束，得出是否存在入侵行为的结论。
2021/7/9
的软硬件系统。
基本方法：收集计算机系统和网络的信息，并对
这些信息加以分析，对保护的系统进行安全审计、
监控、攻击识别并作出实时的反应。
2021/7/9
入侵检测主要目的
（1）识别攻击行为和捕获入侵者。
（2）应急响应：及时阻止攻击活动。
（3）检测安全防范的效果。
（4）发现新的攻击。
（5）威慑攻击者。
2021/7/9
根据已知的入侵模式来检测入侵。将已知的
攻击行为编成某种特征模式，如果入侵者攻击
方式恰好匹配上检测系统中的模式库，则攻击
行为就被检测到。
2021/7/9
模式匹配
ห้องสมุดไป่ตู้
模式匹配：
将已知的攻击行为编成某种特征模式(signature)，
形成特征库；
信息收集模块根据特征库中的特征收集被保护系
统的特征信息；
某种模型进行处理的结果，能够稳定、准确的区
分开正常和异常行为。
2021/7/9
人工神经网络


人工神经网络通过对大量神经元和神经元所组成
的网络的模拟，实现了对人脑收集、加工、存储
以至运用信息能力的模拟。
外界信号是人工神经网络的输入，人脑对信号的
反应对应人工神经网络的输出，神经元是大量的
简单的处理单元，神经元对外界信号的传递效果

反复无常，鼓着翅膀飞逝
入侵检测技术
惠东
入侵检测的定义
对系统的运行状态进行监视，发现各种攻 击企图、攻击行为或者攻击结果，以保证 系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入 侵检测系统
IDS : Intrusion Detection System
▪ 他提出了一种对计算机系统风险和威胁的分类方
法，并将威胁分为外部渗透、内部渗透和不法行 为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作
入侵检测的起源（4）
从1984年到1986年，乔治敦大学的Dorothy Denning 和SRI/CSL的Peter Neumann研究出了一个实时入侵检 测系统模型，取名为IDES（入侵检测专家系统）
显然，对用户活动来讲，不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文 件，包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变（包括修改、创建和删除），特别 是那些正常情况下限制访问的，很可能就是一 种入侵产生的指示和信号
局限性 无法处理网络内部的攻击 误报警，缓慢攻击，新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
入侵检测起源
1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型
独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初：CMDS™、NetProwler™、NetRanger™ ISS RealSecure™

入侵探测原理
声波探测 、物体在振动或破碎时发出特有 （固有） 频率的振荡是物资、物体的一种特征，其频率通常 在声波（超声、次声）的范围内。检测这个特征可以 用来判断物体的状态（振动、破碎），这就是声波 探测的原理。 检测特定频率的声波，玻璃破碎探测器是最常用 和最典型的声波探测器。它检测玻璃破碎时产生的 特殊声波（10～15khz）和破碎前产生的次声。 检测谐振现象，通过谐振腔 （音叉） 来探测振动 是一种好的方法，它不是状态探测。 检测背景噪声，监听设备输出的音频信号电平 （声级）可反映防范区内的背景噪声。当其超过一 定的阀值时，发出报警，这就是声控报警器的工作 原理，也是一种声波探测。 声控报警器是把探测与复核结合在一起，通过监 听或频谱的分析可有效地排出误报警。
常用入侵探测器
入侵探测器的分类、可从不同的角度进行探测 器的分类，主要有 ： 按探测区域分类：根据可以监控的区域，可分 为点、线、面和空间探测器。探测器的监控区域 与安装方式和应用环境有关，如点、线探测器都 可以形成面的监控，但形成不了空间监控。 按探测原理分类：如上节的各原理，还可更具 体的分类，如被动红外、微波等。 按应用分类：如防盗/防火、室内/室外、周界 和违禁品探测等。 依安装的设施分类：如保险柜报警器、汽车防 盗器，通常是一些专门应用的探测器。 其它分类方法：主动/被动（按工作方式）；机械/ 电子（按技术结构）；静态/运动（按工作特点）等。 探测器分类有助于了解它的原理和适应性。
入侵探测原理
晶态电介质的自发极化特性、有些压电晶体（如 锆钛酸铝系陶瓷）具有自发极化现象，极化强度随温 度而变化。在垂直极化轴的表面上温度升高，会有 自由电子释放出来，既热释电效应。 利用这个原理就可以实现红外（热）探测。
电介质
+++ห้องสมุดไป่ตู้+++++-

实时性
系统对入侵事件的响应速度， 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及，入侵检测系统需要处理的数据量急剧增加，对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术，将数据分散到多个节点进行处理，提高数据处理速度。同时，利 用GPU加速技术，提高算法的并行处理能力，进一步提高数据处理速度。
网络型
部署在网络中的关键节点，实时监测网络流量和数据 包内容。
主机型
安装在目标主机上，监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点，同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ，是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例，低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性，可以加速加密 和解密等计算密集型任务，提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期，技术尚未成熟，且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式，并将实际行为与该模式进行比较，以检测异常 行为。如果发现异常行为，则触发警报。
基于误用的入侵检测技术

网络入侵的特点
没有地域和时间的限制； 通过网络的攻击往往混杂在大量正常的网络活动之间，
隐蔽性强； 入侵手段更加隐蔽和复杂。
3
为什么需要IDS？
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS？
关于防火墙
网络边界的设备，只能抵挡外部來的入侵行为 自身存在弱点，也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护，合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品，依然 抵挡不住这些黑客对网络和系统的破坏。据统计， 几乎每20秒全球就有一起黑客事件发生，仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive)：如果系统错误地将异常活动定 义为入侵
漏报(false negative)：如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型，做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集，收集内容包括系统 、网络、数据及用户活动的状态和行为

三、入侵检测系统构件
1、IDS框架介绍 2、入侵检测系统构件 3、事件产生器 4、事件分析器 5、响应单元 6、事件数据库 7、管理器
1、IDS框架介绍（1）
理论界：CIDF
Common Intrusion Detection Framework
由DARPA于1997年3月开始着手制定
为了解决不同入侵检测系统
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性： 不能检测未知攻击和新的攻击，特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为，由于他们没 有利用系统的缺陷，因而很难检测出来
2、异常检测技术的优势
硬件平台 操作系统 系统中运行的应用程序
4、完整性分析
通过检查系统的当前系统配置，诸如系统文件 的内容或者系统表，来检查系统是否已经或者 可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能 否发现入侵，只要是成功的攻击导致了文件或 其它对象的任何改变，它都能够发现。
缺点是一般以批处理方式实现，不用于实时响 应。
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器
5、IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报
基于网络的入侵检测系统
视野更宽 、隐蔽性好 、攻击者不易转移证据
3、根据检测技术进行分类
异常入侵检测