主機異常檢測

基於主機的入侵檢測系統是根據主機系統的系統日誌和審計記錄來進行檢測分析，通常在要受保護的主機上有專門的檢測代理，通過對系統日誌和審計記錄不間斷地監視和分析來發現攻擊。從技術歷程上來看，入侵檢測是從主機審計的基礎上開始發展起來的，因而早期的入侵檢測系統都是基於主機的入侵檢測技術的。它主要的目的是在事件發生後提供足夠的分析來阻止迸一步的攻擊。其缺點是：會占用主機的資源，在伺服器上產生額外的負擔；缺乏平台的支持，可移植性差，因而套用範圍會受到嚴重限制。

基於行為的檢測是根據使用者的行為或資源使用狀況來判斷是否存在入侵。將攻擊視為不同於正常的行為，通過識別任何違反正常的行為檢測入侵。異常檢測系統試圖建立一個對應“正常的系統輪廓”的特徵原型，然後把與所建立的特徵原型中差別“很大”的行為標誌為異常行為。基於行為的檢測與系統相對無關，通用性較強。它甚至有可能檢測出以前未出現過的攻擊方法，不像基於知識的檢測那樣受已知脆弱性的限制。但因為不可能對整個系統內的所有用戶行為進行全面的描述，況且每一個用戶的行為是經常變化的，所以它的主要缺陷在於誤報率很高。尤其在用戶數目眾多，或工作目的經常改變的環境中。其次由於統計簡表要不斷更新，入侵者如果知道某系統在檢鍘器的監視之下，他們能慢慢地訓練檢測系統，以至於最初認為是異常的行為，經一段時間訓練後也認為是正常的行為。