入侵檢測系統的分類及功能

據其採用的技術可以分為異常檢測和特徵檢測。

異常檢測，異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的活動簡檔，當前主體的活動違反其統計規律時，認為可能是入侵行為。通過檢測系統的行為或使用情況的變化來完成。特徵檢測，特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。協議分析，利用網絡協議的高度規則性快速探測攻擊的存在。根據其監測的對象是主機還是網絡分為基於主機的入侵檢測系統和基於網絡的入侵檢測系統。

記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行檢查。在線檢測系統是實時聯機的檢測系統，它包含對實時網絡數據包分析，實時主機審計分析。入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。