隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息共享和網(wǎng)絡(luò)互連成為發(fā)展趨勢(shì)。信息的共享增加了個(gè)體之間的信息交流，提高了生產(chǎn)率，但同時(shí)也使得個(gè)人、公司的私有信息，甚至國(guó)家機(jī)密面臨嚴(yán)重的入侵威脅，各種安全問(wèn)題時(shí)有發(fā)生。因此計(jì)算機(jī)信息安全日益為人們所關(guān)注。

傳統(tǒng)上，信息安全研究包括針對(duì)特定的系統(tǒng)設(shè)計(jì)一定的安全策略，建立支持該策略的形式化安全模型，使用身份認(rèn)證、訪問(wèn)控制、信息加密和數(shù)字簽名等技術(shù)實(shí)現(xiàn)安全模型并使之成為針對(duì)各種入侵活動(dòng)的防御屏障。然而近年來(lái)隨著系統(tǒng)入侵行為程度和規(guī)模的加大，安全模型理論自身的局限以及實(shí)現(xiàn)中存在的漏洞逐漸暴露出來(lái)，這是信息系統(tǒng)復(fù)雜化后的必然結(jié)果。增強(qiáng)系統(tǒng)安全的一種行之有效的方法是采用一個(gè)比較容易實(shí)現(xiàn)的安全技術(shù)，同時(shí)使用輔助的安全系統(tǒng)，對(duì)可能存在的安全漏洞進(jìn)行檢查，入侵檢測(cè)就是這樣的技術(shù)。

入侵檢測(cè)的研究最早可追溯到20世紀(jì)80年代，但受到重視和快速發(fā)展是在Internet興起之后。早在1980年，J Anderson等人就提出了入侵檢測(cè)的概念，對(duì)入侵行為進(jìn)行了簡(jiǎn)單地劃分，提出使用審計(jì)信息跟蹤用戶可疑行為。1985年，Denning在Oakland提出第一個(gè)實(shí)時(shí)入侵檢測(cè)專家系統(tǒng)模型，以及實(shí)時(shí)的、基于統(tǒng)計(jì)量分析和用戶行為輪廓(Profile)的入侵檢測(cè)技術(shù)。該模型是入侵檢測(cè)研究領(lǐng)域的里程碑，此后大量的入侵檢測(cè)系統(tǒng)模型開(kāi)始出現(xiàn)，很多都是基于Denning的統(tǒng)計(jì)量分析理論。進(jìn)入90年代以后，隨著Porras和Kemmerer基于狀態(tài)轉(zhuǎn)換分析的入侵檢測(cè)技術(shù)的提出和完善，根據(jù)已知攻擊模型進(jìn)行入侵檢測(cè)的方法成為該領(lǐng)域研究的另一熱點(diǎn)。

入侵就是指連續(xù)的相關(guān)系列惡意行為，這種惡意行為將造成對(duì)計(jì)算機(jī)系統(tǒng)或者計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅，包括非授權(quán)的信息訪問(wèn)、信息的竄改設(shè)置以及拒絕服務(wù)攻擊等等。入侵檢測(cè)是指對(duì)惡意行為進(jìn)行診斷、識(shí)別并做出響應(yīng)的過(guò)程。實(shí)施入侵檢測(cè)的系統(tǒng)稱為入侵檢測(cè)系統(tǒng)（IDS，Intruding Directional System）。

衡量入侵檢測(cè)系統(tǒng)的兩個(gè)最基本指標(biāo)為檢測(cè)率和誤報(bào)率，兩者分別從正、反兩方面表明檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確性。

實(shí)用的入侵檢測(cè)系統(tǒng)應(yīng)盡可能地提高系統(tǒng)的檢測(cè)率而降低誤報(bào)率，但在實(shí)際的檢測(cè)系統(tǒng)中這兩個(gè)指標(biāo)存在一定的抵觸，實(shí)現(xiàn)上需要綜合考慮。除檢測(cè)率和誤報(bào)率外，在實(shí)際設(shè)計(jì)和實(shí)現(xiàn)具體的入侵檢測(cè)系統(tǒng)時(shí)還應(yīng)考慮操作方便性、抗攻擊能力、系統(tǒng)開(kāi)銷大小、可擴(kuò)展性、自適應(yīng)能力、自學(xué)習(xí)能力以及實(shí)時(shí)性等。

從系統(tǒng)組成上看，入侵檢測(cè)一般由3個(gè)部分組成：數(shù)據(jù)采集、入侵檢測(cè)、響應(yīng)。

數(shù)據(jù)采集模塊根據(jù)入侵檢測(cè)類型的不同，采集不同類型的數(shù)據(jù)，比如網(wǎng)絡(luò)的數(shù)據(jù)包、操作系統(tǒng)的系統(tǒng)調(diào)用日志或者應(yīng)用日志。數(shù)據(jù)采集模塊往往會(huì)對(duì)采集到的信息進(jìn)行預(yù)處理，包括對(duì)信息進(jìn)行簡(jiǎn)單的過(guò)濾，輸出格式化的信息。前者有助于消除冗余數(shù)據(jù)，提升系統(tǒng)的性能；后者可提升系統(tǒng)的互操作性。預(yù)處理后的信息一般都先存放到日志數(shù)據(jù)庫(kù)中，再提交給分析引擎。分析引擎實(shí)現(xiàn)檢測(cè)算法。從最簡(jiǎn)單的字符串匹配到復(fù)雜的專家系統(tǒng)甚至神經(jīng)網(wǎng)絡(luò)，分析引擎是入侵檢測(cè)系統(tǒng)的核心，分析引擎最終判定一個(gè)行為是異常的還是正常的。檢測(cè)策略包含了如何診斷入侵的配置信息、入侵的簽名(也就是入侵的行為特征)。各種閾值也往往存放在檢測(cè)策略中。狀態(tài)信息包含了檢測(cè)所需的動(dòng)態(tài)信息，比如部分執(zhí)行的入侵簽名，當(dāng)前發(fā)生在系統(tǒng)中的行為上下文等。分析引擎在做出行為的入侵判斷后將判斷的結(jié)果直接發(fā)給響應(yīng)模塊。響應(yīng)模塊然后根據(jù)響應(yīng)策略中預(yù)定義的規(guī)則進(jìn)行不同的響應(yīng)處理。一般來(lái)說(shuō)，可能的響應(yīng)行為包括：發(fā)出報(bào)警，通知管理員。對(duì)惡意行為自動(dòng)地采取反擊措施，一方面可自動(dòng)地重新配置目標(biāo)系統(tǒng)，阻斷入侵者；另一方面可以重新配置檢測(cè)策略和數(shù)據(jù)采集策略，如可針對(duì)正在執(zhí)行的特定行為采集更多的信息，對(duì)行為的性質(zhì)進(jìn)行更準(zhǔn)確的判斷。

對(duì)于目前已有入侵檢測(cè)的分類有多種方法，比較通用的方法有兩種：一種是根據(jù)數(shù)據(jù)采集點(diǎn)的不同，將IDS分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS；另外一種就是根據(jù)檢測(cè)所基于的原則不同，將入侵檢測(cè)系統(tǒng)劃分為異常檢測(cè)IDS和誤用檢測(cè)IDS。