【电脑网络】回顾入侵检测技术及其发展历史 自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。由于攻击的不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的,只有通过不断改进和完善才能更好地协助网络进行安全防御。入侵检测技术的发展已经历了四个主要阶段:第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。第三阶段是
