根據檢測原理進行分類

傳統的觀點根據入侵行為的屬性將其分為異常和濫用兩種，然后分別對其建立異常檢測模型和濫用檢測模型。近四五年來又涌現出了一些新的檢測方法，它們產生的模型對異常和濫用都適用，如人工免疫方法、遺傳算法、數據挖掘等。根據系統所采用的檢測模型，將IDS分為三類。
1．異常檢測
在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異常現象，它通過檢測系統的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標為“異常”，并如何做出具體決策。
異常檢測只能識別出那些與正常過程有較大偏差的行為，而無法知道具體的入侵情況。由于對各種網絡環境的適應性不強，且缺乏精確的判定準則，異常檢測經常會出現虛警情況。
異常檢測可以通過以下系統實現。
（1）自學習系統
自學習系統通過學習事例構建正常行為模型，又可分為時序和非時序兩種。
（2）編程系統
該類系統需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統的安全。編程系統可以再細分為描述統計和缺省否認兩種。
異常檢測IDS分類如表1所示。
　
2．濫用檢測
在濫用檢測中，入侵過程模型及它在被觀察系統中留下的蹤跡是決策的基礎。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。
濫用檢測基于已知的系統缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統未知的攻擊行為，從而產生漏警。
濫用檢測通過對確知決策規則編程實現，可以分為以下四種：
（1）狀態建模：它將入侵行為表示成許多個不同的狀態。如果在觀察某個可疑行為期間，所有狀態都存在，則判定為惡意入侵。狀態建模從本質上來講是時間序列模型，可以再細分為狀態轉換和Petri網，前者將入侵行為的所有狀態形成一個簡單的遍歷鏈，后者將所有狀態構成一個更廣義的樹形結構的Petri網。
（2）專家系統：它可以在給定入侵行為描述規則的情況下，對系統的安全狀態進行推理。一般情況下，專家系統的檢測能力強大，靈活性也很高，但計算成本較高，通常以降低執行速度為代價。
（3）串匹配：它通過對系統之間傳輸的或系統自身產生的文本進行子串匹配實現。該方法靈活性欠差，但易于理解，目前有很多高效的算法，其執行速度很快。
（4）基于簡單規則: 類似于專家系統，但相對簡單一些，故執行速度快。
濫用檢測IDS分類如表2所示。
　
3． 混合檢測
近幾年來，混合檢測日益受到人們的重視。這類檢測在做出決策之前，既分析系統的正常行為，同時還觀察可疑的入侵行為，所以判斷更全面、準確、可靠。它通常根據系統的正常數據流背景來檢測入侵行為，故而也有人稱其為“啟發式特征檢測”。
Wenke Lee從數據挖掘得到啟示，開發出了一個混合檢測器RIPPER。它并不為不同的入侵行為分別建立模型，而是首先通過大量的事例學習什么是入侵行為以及什么是系統的正常行為，發現描述系統特征的一致使用模式，然后再形成對異常和濫用都適用的檢測模型。
根據系統特征分類

作為一個完整的系統，IDS顯然不應該只包括檢測器，它的很多系統特征同樣值得認真研究。為此，將以下一些重要特征作為分類的考慮因素。
1．檢測時間：有些系統以實時或近乎實時的方式檢測入侵活動，而另一些系統在處理審計數據時則存在一定的延時。一般的實時系統可以對歷史審計數據進行離線操作，系統就能夠根據以前保存的數據重建過去發生的重要安全事件。
2．數據處理的粒度：有些系統采用了連續處理的方式，而另一些系統則在特定的時間間隔內對數據進行批處理操作，這就涉及到處理粒度的問題。它跟檢測時間有一定關系，但二者并不完全一樣，一個系統可能在相當長的時延內進行連續數據處理，也可以實時地處理少量的批處理數據。
3．審計數據來源：主要有兩種來源：網絡數據和基于主機的安全日志文件。后者包括操作系統的內核日志、應用程序日志、網絡設備（如路由器和防火墻）日志等。
4．入侵檢測響應方式：分為主動響應和被動響應。被動響應型系統只會發出告警通知，將發生的不正常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取反擊行動。主動響應系統可以分為兩類：
（1）對被攻擊系統實施控制。它通過調整被攻擊系統的狀態，阻止或減輕攻擊影響，例如斷開網絡連接、增加安全日志、殺死可疑進程等。
（2）對攻擊系統實施控制的系統。這種系統多被軍方所重視和采用。
目前，主動響應系統還比較少，即使做出主動響應，一般也都是斷開可疑攻擊的網絡連接，或是阻塞可疑的系統調用，若失敗，則終止該進程。但由于系統暴露于拒絕服務攻擊下，這種防御一般也難以實施。
5．數據收集地點：審計數據源可能來自某單一節點，也可能來自于網絡中多個分布式節點。
6．數據處理地點：審計數據可以集中處理，也可以分布處理。
7．安全性：指系統本身的抗攻擊能力。
8．互操作性：不同的IDS運行的操作系統平臺往往不一樣，其數據來源、通信機制、消息格式也不盡相同，一個IDS與其他IDS或其他安全產品之間的互操作性是衡量其先進與否的一個重要標志。
系統特征IDS分類如表3所示。
　 
根據體系結構分類
按照體系結構，IDS可分為集中式、等級式和協作式三種，如表4所示。

1．集中式。這種結構的IDS可能有多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務器。審計程序把當地收集到的數據蹤跡發送給中央服務器進行分析處理。但這種結構的IDS在可伸縮性、可配置性方面存在致命缺陷：第一，隨著網絡規模的增加，主機審計程序和服務器之間傳送的數據量就會驟增，導致網絡性能大大降低；第二，系統安全性脆弱，一旦中央服務器出現故障，整個系統就會陷入癱瘓；第三，根據各個主機不同需求配置服務器也非常復雜。
2．等級式。它用來監控大型網絡，定義了若干個分等級的監控區，每個IDS負責一個區，每一級IDS只負責所監控區的分析，然后將當地的分析結果傳送給上一級IDS。這種結構仍存兩個問題：首先，當網絡拓撲結構改變時，區域分析結果的匯總機制也需要做相應的調整；第二，這種結構的IDS最后還是要把各地收集到的結果傳送到最高級的檢測服務器進行全局分析，所以系統的安全性并沒有實質性的改進。
3．協作式。將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監控當地主機的某些活動。所以，其可伸縮性、安全性都得到了顯著的提高，但維護成本卻高了很多，并且增加了所監控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。
發展趨勢
　
一個有趣的現象是: 基于網絡的IDS被人們討論得最多，似乎它應該代表IDS的發展潮流，但實際情況并非如此。部分原因是：① 所監控的網絡流量超過100Mbps之后，計算量非常之大，系統的數據處理與分析能力會顯著降低，這使得它面臨著一個難以逾越的技術門檻；② 只能監控明文格式數據流，無法監控加密數據流，這不能不說是一個硬傷。
通過對上述分類的認真觀察，我們發現IDS今后有如下一些發展趨勢。
1．檢測模型走向自適應。自適應模型結合了自學習系統的優點和特征系統的檢測效率，這種混合模型已經被學術界公認為發展熱點。
2．體系結構從集中式轉向分布式。
3．響應方式由被動轉向主動。
4．互操作性亟待提高。目前，IDS的研究基本上還處于各自為政的山大王紛爭時代，不同的IDS之間及與其他安全產品之間的互操作性很差。為了推動IDS產品及部件之間的互操作性，DARPA和IETF入侵檢測工作組分別制訂了CIDF和IDMEF標準，從體系結構、API、通信機制、語言格式等方面規范IDS。
5．安全性需要增強。作為安全防護體系中的重要組成部分，IDS自身的安全性必須得到加強。
IDS目前的發展還處于幼年期，國產IDS產品更是多處于特征檢測的初級階段，在異常檢測方面與國外還存在相當大的差距，在混合檢測領域更是一片空白。