1、入侵检测的基本概念

　　入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标gb/t18336）。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（intrusion detection system，简称ids）。

　　2、入侵检测系统的发展历史

　　1980年jamesp.anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的dorothydenning和sri公司计算机科学实验室的peterneumann研究出了一个实时入侵检测系统模型- ides（intrusion detection expert systems入侵检测专家系统），是第一个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。1989年，加州大学戴维斯分校的todd heberlein写了一篇论文《a network securitymonitor》，该监控器用于捕获tcp/ip分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。

　　3、系统模型

　　为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对ids进行标准化工作的有两个组织：ietf的intrusion detection working group（idwg）和common intrusion detection framework（cidf）。cidf早期由美国国防部高级研究计划局赞助研究，现在由cidf工作组负责，是一个开放组织。