入侵檢測系統(tǒng)（IDS）主要檢測計算機網(wǎng)絡(luò)中的非法、錯誤或者異常行為。運行在主機上，并且負(fù)責(zé)檢測該主機上惡意破壞行為的 ID 系統(tǒng)，被稱之為主機型 ID 系統(tǒng)。

　　主機型 IDS 軟件被安裝于需要監(jiān)控的系統(tǒng)上。IDS 軟件上的數(shù)據(jù)源是日志文件和/或系統(tǒng)審計代理。主機型 IDS 不僅著眼于計算機中通信流量的出入，同時也校驗用戶系統(tǒng)文件的完整性，并檢測可疑程序。為了能使基于主機的 IDS 完整地覆蓋受控站點，需要在每臺計算機上都安裝 IDS 系統(tǒng)。

　　主機型入侵檢測軟件主要有兩種類型：主機 wrapper /個人防火墻和基于代理的軟件。與網(wǎng)絡(luò)型 IDS 相比，主機型 IDS 中每種檢測內(nèi)部攻擊（即所謂的異常行為）的方法都更為高效，但相對而言，兩者在檢測外部攻擊方面都非常有效。主機 wrapper 或者個人防火墻都可以配置來著眼于受控機器的所有網(wǎng)絡(luò)數(shù)據(jù)包，連接嘗試或登錄嘗試等。另外還包含撥號嘗試或者其它非網(wǎng)絡(luò)相關(guān)通信端口等功能。

　　網(wǎng)絡(luò)型 IDS 的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，IDS 監(jiān)控各網(wǎng)段的數(shù)據(jù)包流量作為。網(wǎng)絡(luò)接口卡被設(shè)置為混合模式，以獲取跨越各網(wǎng)段的所有網(wǎng)絡(luò)流量。但網(wǎng)絡(luò)型 IDS 不能監(jiān)控其它各段上的網(wǎng)絡(luò)流量。

　　網(wǎng)絡(luò)型 IDS 著眼于經(jīng)過傳感器的網(wǎng)絡(luò)數(shù)據(jù)包。傳感器只能看到與其相連的網(wǎng)絡(luò)段上裝載的數(shù)據(jù)包。如果為這些數(shù)據(jù)包都匹配一個標(biāo)志，那么主要有以下三種標(biāo)志類型：

• 串標(biāo)志（String Signature）：著眼于文本串，表示可能性功能。為降低串信號錯誤數(shù)量，使用復(fù)合串信號是非常必要的。
• 端口標(biāo)志（Port Signature）：著眼于眾所周知的、高頻率的攻擊端口的連接嘗試。例如 telnet（TCP 端口23）、FTP（TCP 端口21/20）、SUNRPC（TCP/UDP 端口111）和 IMAP （TCP 端口143）等端口。
• 頭標(biāo)志（Header Signature）：著眼于危險的或不合理的數(shù)據(jù)包頭結(jié)合。其中最著名的例子是 Winnuke，數(shù)據(jù)包被指定 NetBIOS 端口和緊急指針，或者設(shè)置帶外指針。對微軟系統(tǒng)來說這將導(dǎo)致“藍(lán)頻死機”現(xiàn)象。

　　網(wǎng)絡(luò)型和主機型 IDS 都具有正反兩面。所以通常情況下，網(wǎng)絡(luò)中結(jié)合兩種技術(shù)提供完整保護功能。總之，有關(guān)何處使用到這三種類型，以及如何整合數(shù)據(jù)都是一個切實且日益關(guān)注的主題。