目    录
第一章 引言……………………………………………………………2                  
第二章 入侵检测技术…………………………………………………4
2.1 入侵检测技术原理 ………………………………………………………4
    2.1.1入侵检测技术第一步——信息收集…………………………4
    2.1.2 入侵检测技术的第二步——信号分析 …………………………7
2.1.3 实现一例   ………………………………………………………8
2.2 入侵检测技术功能概要  ………………………………………………10
2.3入侵检测技术技术分析 …………………………………………………9
      2.3.1入侵分析按其检测技术规则分类 …………………………10
      2.3.2 一些新的分析技术  ……………………………………10
第三章 入侵检测系统    ……………………………………………13
3.1入侵检测系统简介………………………………………………………13
   3.1.1 什么是入侵检测系统         ……………………………………13
   3.1.2 入侵检测系统的作用         ……………………………………13
3.2 入侵检测系统类型        ……………………………………………13
   3.2.1主机型入侵检测系统         ……………………………………13
   3.2.2 网络型入侵检测系统        ……………………………………14
   3.2.3 混和入侵检测系统        ………………………………………15
   3.2.4 误用检测          ………………………………………………15
   3.2.5 异常检测          ………………………………………………17
3.3入侵检测系统的检测信息来源         ……………………………18
第四章 入侵检测技术技术发展方向          ……………………………19
4.1 技术发展方向                 ……………………………………19
4.2 主要的IDS公司和及其产品     ……………………………………20
第五章 入侵检测系统的应用        ………………………………………22
5.1 典型应用说明       …………………………………………………22
5.1.1 简单的小的OA系统入侵检测的简单应用  ……………………22
    5.1.2 企业级大规模用户的应用      …………………………………23
5.2 入侵检测存在的问题       …………………………………………24
5.3 入侵检测实例分析………………………………………………………
结论           ………………………………………………………………26
致谢……………………………………………………………………27
参考文献 ……………………………………………………………28
当一篇文章从网络的一端传向另一端时，是被封装成一个个小包(叫做报文)来传送的。每个包包括了文章中的一段文字，在到达另一端之后，这些包再被组装起来。因此，我们可以通过检测技术网络中的报文来达到获得信息的目的。一般来说，检测技术方式只能够检测技术到本机的报文，为了监视其他机器的报文，需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块，我们可以监视受保护机器的数据报文。在受保护的机器将要受到攻击之前，入侵检测技术模块可最先发现它。
实际应用中网络结构千差万别，用户只有根据具体情况分别设计实施方案，才能让网络入侵检测技术模块检测技术到需要保护机器的状况。同时，网络入侵检测技术模块得到的只是网络报文，获得的信息没有主机入侵检测技术模块全面，所检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便，不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块即可。
当收集到证据后，用户如何判断它是否就是入侵呢？一般来说，IDS有一个知识库，知识库记录了特定的安全策略。IDS获得信息后，与知识库中的安全策略进行比较，进而发现违反规定的安全策略的行为。
定义知识库有很多种方式，最普遍的做法是检测技术报文中是否含有攻击特征。知识库给出何种报文是攻击的定义。这种方式的实现由简单到复杂分了几个层次，主要差别在于检测技术的准确性和效率上。简单的实现方法是把攻击特征和报文的数据进行了字符串比较，发现匹配即报警。这种做法使准确性和工作效率大为降低。为此，开发人员还有很多工作要做，如进行校验和检查，进行IP碎片重组或TCP重组，实现协议解码等等。
完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测技术方法还应该是网络安全产品的必要手段之一。