機房入侵檢測系統(tǒng)（IDS）是一種網(wǎng)絡(luò)安全工具，可以實現(xiàn)實時監(jiān)控，這與其他網(wǎng)絡(luò)安全工具不同，因為IDS是一種主動防御方法。

    基本上，機房入侵檢測系統(tǒng)是典型的“偵察設(shè)備”.它是多個物理網(wǎng)絡(luò)（通常只有一個偵聽端口），不需要連接或傳輸任何數(shù)據(jù)。只有在網(wǎng)絡(luò)中才能收集被動、沉默和有趣的信息。入侵檢測系統(tǒng)提取相關(guān)的統(tǒng)計數(shù)據(jù)并嵌入入侵?jǐn)?shù)據(jù)庫，根據(jù)預(yù)先設(shè)定的閥門值，高度聚合的信息流被認為是攻擊，并且入侵檢測系統(tǒng)將相應(yīng)地設(shè)置報警或限制響應(yīng)。

機房入侵檢測系統(tǒng)分類

按數(shù)據(jù)來源分類

1、基于計算機的搜索系統(tǒng)（HIDS）

   服務(wù)器，主要用于保護關(guān)鍵應(yīng)用程序。通過監(jiān)視和分析主機帳戶和日志文件檢測到入侵。日志包含證據(jù)這些證據(jù)表明日志可以檢測到成功的入侵或入侵嘗試，并在緊急情況下采取適當(dāng)?shù)拇胧?

2、基于Internet的入侵檢測系統(tǒng)（NIDS）

   基本信息，用于實時控制網(wǎng)絡(luò)密鑰。它允許監(jiān)視網(wǎng)絡(luò)中的所有組并收集數(shù)據(jù)以分析事件?；诰W(wǎng)絡(luò)的系統(tǒng)入侵檢測可以使用源網(wǎng)絡(luò)數(shù)據(jù)包作為源，使用在通用混合模式下運行的網(wǎng)絡(luò)適配器，用于實時監(jiān)控，并通過網(wǎng)絡(luò)分析所有通信服務(wù).

按原理分類

1、異常

   異常檢測是根據(jù)異常行為和計算機資源的使用情況進行入侵檢測.在異常檢測的基礎(chǔ)上進行入侵檢測首先建立了用戶正常行為的統(tǒng)計模型，然后將當(dāng)前行為作為正常行為的標(biāo)志。

2、誤用

   使用入侵檢測技術(shù)將收集到的數(shù)據(jù)與預(yù)先定義的特征數(shù)據(jù)庫中的不同攻擊模型進行比較，并確定這完全取決于特征存儲庫。因此，無法判斷未知的攻擊，而且不能經(jīng)常使用。

按體系分類

1、集中式

   集中入侵檢測系統(tǒng)包括分布在不同載體上的多個審計程序，但只有集中的入侵檢測系統(tǒng)。

   測試服務(wù)器和審核程序?qū)⑹占降臄?shù)據(jù)發(fā)送到中心服務(wù)器進行分析和處理。使用此結(jié)構(gòu)的入侵檢測系統(tǒng)可以隨著網(wǎng)絡(luò)的擴展，審核程序和服務(wù)器之間傳輸?shù)臄?shù)據(jù)量增加，如果中央服務(wù)器出現(xiàn)故障，整個系統(tǒng)都將癱瘓.按服務(wù)器請求安裝服務(wù)器也很困難.

2、層次

   層次（本地分發(fā)）入侵檢測系統(tǒng)為所有入侵定義不同的監(jiān)視級別檢測系統(tǒng)負責(zé)區(qū)域.在入侵檢測系統(tǒng)的各級，只分析監(jiān)控區(qū)域，然后將局部分析結(jié)果傳遞給上級入侵檢測系統(tǒng).首先，在網(wǎng)絡(luò)拓撲發(fā)生變化的情況下，區(qū)域分析結(jié)果的統(tǒng)計系統(tǒng)應(yīng)作相應(yīng)的調(diào)整.二、該結(jié)構(gòu)的入侵檢測系統(tǒng)需要將最終采集結(jié)果傳輸?shù)阶钕冗M的測試服務(wù)器進行全面分析，因此，該系統(tǒng)的安全性沒有顯著提高。