機房入侵檢測系統(tǒng)（IDS）是一種網(wǎng)絡安全工具，可以實現(xiàn)實時監(jiān)控，這與其他網(wǎng)絡安全工具不同，因為IDS是一種主動防御方法。

    基本上，機房入侵檢測系統(tǒng)是典型的“偵察設備”.它是多個物理網(wǎng)絡（通常只有一個偵聽端口），不需要連接或傳輸任何數(shù)據(jù)。只有在網(wǎng)絡中才能收集被動、沉默和有趣的信息。入侵檢測系統(tǒng)提取相關的統(tǒng)計數(shù)據(jù)并嵌入入侵數(shù)據(jù)庫，根據(jù)預先設定的閥門值，高度聚合的信息流被認為是攻擊，并且入侵檢測系統(tǒng)將相應地設置報警或限制響應。

機房入侵檢測系統(tǒng)分類

按數(shù)據(jù)來源分類

1、基于計算機的搜索系統(tǒng)（HIDS）

   服務器，主要用于保護關鍵應用程序。通過監(jiān)視和分析主機帳戶和日志文件檢測到入侵。日志包含證據(jù)這些證據(jù)表明日志可以檢測到成功的入侵或入侵嘗試，并在緊急情況下采取適當?shù)拇胧?

2、基于Internet的入侵檢測系統(tǒng)（NIDS）

   基本信息，用于實時控制網(wǎng)絡密鑰。它允許監(jiān)視網(wǎng)絡中的所有組并收集數(shù)據(jù)以分析事件?；诰W(wǎng)絡的系統(tǒng)入侵檢測可以使用源網(wǎng)絡數(shù)據(jù)包作為源，使用在通用混合模式下運行的網(wǎng)絡適配器，用于實時監(jiān)控，并通過網(wǎng)絡分析所有通信服務.

按原理分類

1、異常

   異常檢測是根據(jù)異常行為和計算機資源的使用情況進行入侵檢測.在異常檢測的基礎上進行入侵檢測首先建立了用戶正常行為的統(tǒng)計模型，然后將當前行為作為正常行為的標志。

2、誤用

   使用入侵檢測技術將收集到的數(shù)據(jù)與預先定義的特征數(shù)據(jù)庫中的不同攻擊模型進行比較，并確定這完全取決于特征存儲庫。因此，無法判斷未知的攻擊，而且不能經(jīng)常使用。

按體系分類

1、集中式

   集中入侵檢測系統(tǒng)包括分布在不同載體上的多個審計程序，但只有集中的入侵檢測系統(tǒng)。

   測試服務器和審核程序將收集到的數(shù)據(jù)發(fā)送到中心服務器進行分析和處理。使用此結構的入侵檢測系統(tǒng)可以隨著網(wǎng)絡的擴展，審核程序和服務器之間傳輸?shù)臄?shù)據(jù)量增加，如果中央服務器出現(xiàn)故障，整個系統(tǒng)都將癱瘓.按服務器請求安裝服務器也很困難.

2、層次

   層次（本地分發(fā)）入侵檢測系統(tǒng)為所有入侵定義不同的監(jiān)視級別檢測系統(tǒng)負責區(qū)域.在入侵檢測系統(tǒng)的各級，只分析監(jiān)控區(qū)域，然后將局部分析結果傳遞給上級入侵檢測系統(tǒng).首先，在網(wǎng)絡拓撲發(fā)生變化的情況下，區(qū)域分析結果的統(tǒng)計系統(tǒng)應作相應的調(diào)整.二、該結構的入侵檢測系統(tǒng)需要將最終采集結果傳輸?shù)阶钕冗M的測試服務器進行全面分析，因此，該系統(tǒng)的安全性沒有顯著提高。