入侵检测概念：入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象（---如“主机”）。判断与目标相关的操作是否为入侵的依据是：对目标的操作是否超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统，简称为IDS。一般来说，IDS放在防火墙的后面可以降低入侵检测系统的误报率。

入侵检测模型：早期的入侵检测模型主要根据主机系统的审计记录数据，生成有关系统的若干轮廓（---可理解为“模型”），并检测轮廓的变化差异，发现系统的入侵行为

随着入侵行为的种类不断增多，许多攻击是经过长时间准备的。面对这种情况，入侵检测系统的不同功能组件之间，不同IDS之间共享这类攻击信息是十分重要的。于是，一种通用的入侵检测框架模型被提出，简称为CIDF。该模型认为入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库组成

CIDF将入侵检测系统需要分析的数据统称为事件。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应。事件数据库存储着各种中间和最终数据。

入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或已经违背安全策略的行为

作用

除此之外，入侵检测技术还常用于网络安全态势感知，以获取网络信息系统的安全状况。网络安全态势感知平台通常汇聚入侵检测系统的报警数据，特别是分布在不同安全区域的报警，然后对其采取数据关联分析、时间序列分析等综合技术手段，给出网络安全状况判断及攻击发展演变趋势。

基于误用的入侵检测技术：又称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到。---简单说就是有一个“漏洞库”，攻击者利用这个库中的“漏洞”来攻击，就判断为入侵

误用入侵检测依赖于攻击模式库。因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。

误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程，根据入侵特征描述的方式或构造技术，误用检测方法还可以进一步细分为如下几种方法：

（1）基于条件概率的误用检测方法。将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。---概率统计

（2）基于状态迁移的误用检测方法。利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应入侵开始前的系统状态，危害状态对应已成功入侵时刻的系统状态。初始状态和危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。通过检查系统的状态变化发现系统中的入侵行为。

（3）基于键盘监控的误用检测方法。假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。缺点是难以捕获用户击键的可靠方法；此外，也存在多种击键方式表示同一种攻击；如果没有击键语义分析，用户提供别名很容易欺骗这种检测技术；该方法不能检测恶意程序的自动攻击。

（4）基于规则的误用检测方法。将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。优点是检测起来比较简单。缺点是检测受到规则库限制，无法发现新的攻击，并且容易受干扰。Snort是典型应用实例。

基于异常的入侵检测技术：是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”，定义一组系统正常情况的数值，然后将系统运行时的数值与所定义的“正常”情况相比较，得出是否有被攻击的迹象。

异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果IDS能够检测到所有的异常行为，则表明能够检测到所有的入侵行为。但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，具体的行为有4种状况：行为是入侵行为但不表现异常；行为不是入侵行为但表现异常；行为既不是入侵行为也不表现异常；行为是入侵行为且表现异常。异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。依赖于异常模型的建立，不同模型构成不同的检测方法，有以下几种常见方法：

（1）基于统计的异常检测方法。利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓。典型的系统主体特征有：系统的登录与注销时间，资源被占用的时间以及处理机、内存和外设的使用情况等。对收集到的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进一步判断处理。

（2）基于模式预测的异常检测方法。前提条件是：时间序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑时间序列之间的相互联系。是一种基于时间的推理方法，利用时间规则识别用户正常行为模式的特征。通过归纳学习产生这些规则集，并能动态的修改系统中的这些规则，使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功的用于预测所观察到的数据，那么规则就具有较高的可信度。优点：能较好地处理变化多样的用户行为，并具有很强的时序模式；能够集中考察少数几个相关的安全事件，而不是关注系统的整个登录会话过程；容易发现针对检测系统的攻击。

（3）基于文本分类的异常检测方法。是将程序的系统调用视为某个文档中的“字”，而进行运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生的的“文档”，利用K-最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为。

（4）基于贝叶斯推理的异常检测方法。是指在任意给定的时刻，测量A1，A2，•••An变量值，推理判断系统是否发生入侵行为。其中，每个变量Ai表示系统某一方面的特征。

（1）基于规范的检测方法

（2）基于生物免疫的检测方法

（3）基于攻击诱骗的检测方法

（4）基于入侵报警的关联检测方法

（5）基于沙箱动态分析的检测方法

（6）基于大数据分析的检测方法

入侵检测系统组成：①数据采集模块、②入侵分析引擎模块（---是核心）、③应急处理模块、④管理配置模块（提供配置服务，是模块和用户的接口）和相关的辅助模块（为入侵分析引擎模块提供信息）。数据采集模块的功能是为入侵分析引擎模块提供分 析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是IDS 系统中的模块与用户的接口。应急处理模块的功能是发生入侵后，提供紧急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

根据IDS的检测数据来源和它的安全作用范围，可将IDS分成三大类：基于主机的入侵检测系统（简称HIDS，分析主机的信息）；基于网络的入侵检测系统（简称NIDS，扫描网络通信数据包）；分布式入侵检测系统（简称DIDS，多台主机、多个网段采集数据综合分析）。

基于主机的入侵检测系统：即HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并依次来判断该主机是否收到入侵。CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。

HIDS一般适合检测以下入侵行为：针对主机的端口或漏洞扫描；重复失败的登入尝试；远程口令破解；主机系统的用户账号添加；服务启动或停止；系统重启动；文件的完整性或许可权变化；注册表修改；重要系统启动文件变更；程序的异常调用；拒绝服务攻击。---注意，别混到基于“网络”了

HIDS中的软件：SWATCH（实施监视日志的程序）；Tripwire（文件和目录完整性检测工具软件包）；网页防篡改系统（防止网页文件被入侵者非法修改）。

优点

缺点

基于网络的入侵检测系统：简称NIDS。通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成，其构成分为两部分：探测器和管理控制器。

探测器分布在网络中的不同区域，通过侦听方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。

管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。

一般来说，NIDS能够检测以下入侵行为：同步风暴（SYNFlood）、分布式拒绝服务攻击（DDoS）；网络扫描；缓冲区溢出；协议攻击；流量异常；非法网络访问。---注意和“主机”的区别

优点

缺点

网络系统结构的复杂化和大型化，带来许多新的入侵检测问题。

（1）系统的漏洞分散在网络中的各个主机上，这些弱点有可能被攻击者一起用来攻击网络，仅依靠基于主机或网络的IDS不会发现入侵行为。

（2）入侵行为不再是单一的行为，而是相互协作的入侵行为。

（3）入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。

（4）网络传输速度加快，网络的流量增大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。

面对这些新的入侵检测问题，分布式入侵检测系统应运而生，它可以跨越多个子网检测攻击行为，特别是大型网络。分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

基于主机检测的分布式入侵检测系统

基于网络的分布式入侵检测系统

（1）主机入侵检测系统：产品技术原理是根据主机活动信息及重要文件，采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。典型产品形态有终端安全产品，如北信源主机监控审计系统、360 安全卫士、McAfee MVISION Endpoint Detection and Response (EDR) 等。

（2）网络入侵检测系统：产品技术原理是根据网络流量数据进行分析，利用特征检测、协议异常检测等技术方法发现入侵行为。

（3）统一威胁管理：简称UTM，通常会集成入侵检测系统相关的功能模块。UTM是由硬件、软件和网络技术组成的具有专门用途的设备，该设备主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台，是针对网络及应用系统的安全威胁进行综合防御的网管型设备或系统。通常部署在内部网络和外部网络的边界，对流出和进入内部网络的数据进行保护和控制。其部署方式通常包括透明网桥、路由转发和NAT网关。

（4）高级持续威胁检测：简称APT，是复杂性攻击技术，通常将恶意代码嵌入word、excel、ppt、pdf文档或电子邮件中，以实现更隐蔽的网络攻击，以逃避普通的网络安全检查。

（5）其他。根据入侵检测应用对象，常见的产品类型有WebIDS、数据库IDS、工控IDS等。其中，WebIDS利用Web网络通信流量或Web访问日志等信息，检测常见的Web攻击；数据库IDS利用数据库网络通信流量或数据库访问日志等信息，对常见的数据库攻击行为进行检测。而工控IDS则通过获取工控设备、工控协议相关信息，根据工控漏洞攻击检测规则、异常报文特征和工控协议安全策略，检测工控系统的攻击行为。

入侵检测相关指标：可靠性、可用性、可扩展性、时效性、准确性、安全性。

入侵检测应用场景类型：上网保护、网站入侵检测与保护、网络攻击阻断、主机／终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护。

第一步，根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段；

第二步，在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息；

第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略；

第四步，依据检测策略，选用合适的IDS结构类型：

第五步，在IDS上，配置入侵检测规则；

第六步，测试验证IDS的安全策略是否正常执行；

第七步，运行和维护IDS。

应用方式

基于NIDS的网络边界威胁检测：将网络IDS的探测器接在内部网的广播式Hub或交换机的Probe端口，探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网的网络活动，从而可以发现内部网络的入侵行为。

将NIDS的探测器接在网络边界处，采集与内部网进行通信的数据包，然后分析来自外部的入侵行为

略...

入侵检测概念：入侵应与受害目标相关联，该受害目标可以是一个大的系统或单个对象（---如“主机”）。判断与目标相关的操作是否为入侵的依据是：对目标的操作是否超出了目标的安全策略范围。入侵检测系统，简称为IDS。一般来说，IDS放在防火墙的后面可以降低入侵检测系统的误报率。

入侵检测模型：早期的入侵检测模型主要根据主机系统的审计记录数据，生成有关系统的若干轮廓（---可理解为“模型”），并检测轮廓的变化差异，发现系统的入侵行为

通用的入侵检测框架模型，简称为CIDF。该模型认为入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库组成

CIDF将入侵检测系统需要分析的数据统称为事件。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应。事件数据库存储着各种中间和最终数据。

入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或已经违背安全策略的行为

作用

入侵检测技术还常用于网络安全态势感知。网络安全态势感知平台通常汇聚入侵检测系统的报警数据，特别是分布在不同安全区域的报警，然后对其采取数据关联分析、时间序列分析等综合技术手段，给出网络安全状况判断及攻击发展演变趋势。

基于误用的入侵检测技术：又称为基于特征的入侵检测方法，是指根据已知的入侵模式检测入侵行为。攻击者利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到。---简单说就是有一个“漏洞库”，攻击者利用这个库中的“漏洞”来攻击，就判断为入侵

误用入侵检测依赖于攻击模式库。

误用入侵检测的前提条件是，入侵行为能够按某种方式进行特征编码，而入侵检测的过程实际上就是模式匹配的过程，根据入侵特征描述的方式或构造技术，误用检测方法还可以进一步细分为如下几种方法：---条 状 键盘 规则

（1）基于条件概率的误用检测方法。将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为。---概率统计

（2）基于状态迁移的误用检测方法。利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应入侵开始前的系统状态，危害状态对应已成功入侵时刻的系统状态。初始状态和危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。通过检查系统的状态变化发现系统中的入侵行为。---状态图。有多个状态，如初始状态-->中间状态1-->中间状态2-->中间状态N-->危害状态。攻击导致状态变化

（3）基于键盘监控的误用检测方法。假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。缺点是难以捕获用户击键的可靠方法；此外，也存在多种击键方式表示同一种攻击；如果没有击键语义分析，用户提供别名很容易欺骗这种检测技术；该方法不能检测恶意程序的自动攻击。

（4）基于规则的误用检测方法。将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。优点是检测起来比较简单。缺点是检测受到规则库限制，无法发现新的攻击，并且容易受干扰。Snort是典型应用实例。

基于异常的入侵检测技术：是指通过计算机或网络资源统计分析，建立系统正常行为的“轨迹”

异常检测的前提是异常行为包括入侵行为。入侵行为集合通常不等同于异常行为集合。异常检测方法的基本思路是构造异常行为集合，从中发现入侵行为。依赖于异常模型的建立，不同模型构成不同的检测方法，有以下几种常见方法：---童模吻贝壳

（1）基于统计的异常检测方法。利用数学统计理论技术，通过构建用户或系统正常行为的特征轮廓。

（2）基于模式预测的异常检测方法。前提条件是：时间序列不是随机发生的而是服从某种可辨别的模式，其特点是考虑时间序列之间的相互联系。是一种基于时间的推理方法，利用时间规则识别用户正常行为模式的特征。优点：能较好地处理变化多样的用户行为，并具有很强的时序模式；能够集中考察少数几个相关的安全事件，而不是关注系统的整个登录会话过程；容易发现针对检测系统的攻击。

（3）基于文本分类的异常检测方法。是将程序的系统调用视为某个文档中的“字”，而进行运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生的的“文档”，利用K-最近邻聚类文本分类算法，分析文档的相似性，发现异常的系统调用，从而检测入侵行为。---一个程序运行可能需要进行10个系统调用，每个系统调用称为一个“字”。程序做10次系统调用的关联系数比较强的，也就是“相似性”

（4）基于贝叶斯推理的异常检测方法。是指在任意给定的时刻，测量A1，A2，•••An变量值，推理判断系统是否发生入侵行为。其中，每个变量Ai表示系统某一方面的特征。

（1）基于规范的检测方法

（2）基于生物免疫的检测方法

（3）基于攻击诱骗的检测方法

（4）基于入侵报警的关联检测方法

（5）基于沙箱动态分析的检测方法

（6）基于大数据分析的检测方法

入侵检测系统组成：①数据采集模块、②入侵分析引擎模块（---是核心）、③应急处理模块、④管理配置模块（提供配置服务，是模块和用户的接口）和相关的辅助模块（为入侵分析引擎模块提供信息）。数据采集模块的功能是为入侵分析引擎模块提供分 析用的数据，包括操作系统的审计日志、应用程序的运行日志和网络数据包等。入侵分析引擎模块的功能是依据辅助模块提供的信息（如攻击模式），根据一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现，并产生入侵报警。该模块是入侵检测系统的核心模块。管理配置模块的功能是为其他模块提供配置服务，是IDS 系统中的模块与用户的接口。应急处理模块的功能是发生入侵后，提供紧急响应服务，例如关闭网络服务、中断网络连接、启动备份系统等。辅助模块的功能是协助入侵分析引擎模块工作，为它提供相应的信息，例如攻击特征库、漏洞信息等。

根据IDS的检测数据来源和它的安全作用范围，可将IDS分成三大类：基于主机的入侵检测系统（简称HIDS，分析主机的信息）；基于网络的入侵检测系统（简称NIDS，扫描网络通信数据包）；分布式入侵检测系统（简称DIDS，多台主机、多个网段采集数据综合分析）。

即HIDS。通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并依次来判断该主机是否收到入侵。CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。

HIDS一般适合检测以下入侵行为：针对主机的端口或漏洞扫描；重复失败的登入尝试；远程口令破解；主机系统的用户账号添加；服务启动或停止；系统重启动；文件的完整性或许可权变化；注册表修改；重要系统启动文件变更；程序的异常调用；拒绝服务攻击。---注意，别混到基于“网络”了

HIDS中的软件：SWATCH（实施监视日志的程序）；Tripwire（文件和目录完整性检测工具软件包）；网页防篡改系统（防止网页文件被入侵者非法修改）。---网页保存到主机，一定被篡改，主机自动还原

优点

缺点

简称NIDS。NIDS通常由一组用途单一的计算机组成，其构成分为两部分：探测器和管理控制器。

探测器分布在网络中的不同区域，通过侦听方式获取网络包，探测器将检测到攻击行为形成报警事件，向管理控制器发送报警信息，报告发生入侵行为。

管理控制器可监控不同网络区域的探测器，接收来自探测器的报警信息。

NIDS能够检测以下入侵行为：同步风暴（SYNFlood）、分布式拒绝服务攻击（DDoS）；网络扫描；缓冲区溢出；协议攻击；流量异常；非法网络访问。---注意和“主机”的区别

优点

缺点

网络系统结构的复杂化和大型化，带来许多新的入侵检测问题。

（1）系统的漏洞分散在网络中的各个主机上，这些弱点有可能被攻击者一起用来攻击网络，仅依靠基于主机或网络的IDS不会发现入侵行为。

（2）入侵行为不再是单一的行为，而是相互协作的入侵行为。

（3）入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使监听网络数据包受到限制。

（4）网络传输速度加快，网络的流量增大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。

面对这些新的入侵检测问题，分布式入侵检测系统应运而生，它可以跨越多个子网检测攻击行为，特别是大型网络。分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

基于主机检测的分布式入侵检测系统

基于网络的分布式入侵检测系统

（1）主机入侵检测系统：产品技术原理是根据主机活动信息及重要文件，采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术方法发现入侵行为。典型产品形态有终端安全产品，如北信源主机监控审计系统、360 安全卫士、McAfee MVISION Endpoint Detection and Response (EDR) 等。

（2）网络入侵检测系统：产品技术原理是根据网络流量数据进行分析，利用特征检测、协议异常检测等技术方法发现入侵行为。

（3）统一威胁管理：简称UTM，通常会集成入侵检测系统相关的功能模块。UTM是由硬件、软件和网络技术组成的具有专门用途的设备。通常部署在内部网络和外部网络的边界，对流出和进入内部网络的数据进行保护和控制。其部署方式通常包括透明网桥、路由转发和NAT网关。

（4）高级持续威胁检测：简称APT，是复杂性攻击技术，通常将恶意代码嵌入word、excel、ppt、pdf文档或电子邮件中，以实现更隐蔽的网络攻击，以逃避普通的网络安全检查。

（5）其他。根据入侵检测应用对象，常见的产品类型有WebIDS、数据库IDS、工控IDS等。其中，WebIDS利用Web网络通信流量或Web访问日志等信息，检测常见的Web攻击；数据库IDS利用数据库网络通信流量或数据库访问日志等信息，对常见的数据库攻击行为进行检测。而工控IDS则通过获取工控设备、工控协议相关信息，根据工控漏洞攻击检测规则、异常报文特征和工控协议安全策略，检测工控系统的攻击行为。

入侵检测相关指标：可靠性、可用性、可扩展性、时效性、准确性、安全性。

入侵检测应用场景类型：上网保护、网站入侵检测与保护、网络攻击阻断、主机／终端恶意代码检测、网络安全监测预警与应急处置、网络安全等级保护。

第一步，根据组织或公司的安全策略要求，确定IDS要监测的对象或保护网段；

第二步，在监测对象或保护网段，安装IDS探测器，采集网络入侵检测所需要的信息；

第三步，针对监测对象或保护网段的安全需求，制定相应的检测策略；

第四步，依据检测策略，选用合适的IDS结构类型：

第五步，在IDS上，配置入侵检测规则；

第六步，测试验证IDS的安全策略是否正常执行；

第七步，运行和维护IDS。

应用方式

基于NIDS的网络边界威胁检测：将网络IDS的探测器接在内部网的广播式Hub或交换机的Probe端口，探测器通过采集内部网络流量数据，然后基于网络流量分析监测内部网的网络活动，从而可以发现内部网络的入侵行为。

将NIDS的探测器接在网络边界处，采集与内部网进行通信的数据包，然后分析来自外部的入侵行为

略...