入侵检测系统IDS

入侵检测即是通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。
作用：
    实时检测：实时的监视、分析网络中所有数据报文；
            发现并实时处理所捕获的数据报文；
    安全审计：对系统记录的网络事件进行统计分析；
            发现异常现象；
            得出系统的安全状态，找出所需要的证据；
    主动响应：主动切断连接或与防火墙的联动，调用其他程序处理；
工作原理：实时监控网络数据，与已知的攻击手段进行匹配，从而发现网络或系统中是否有违反安全策略的行为和遭袭击的迹象。
使用方法：作为防火墙后的第二道防线。
优点：能及时获知网络安全状况，借助分析发现安全隐患或攻击信息，便于及时采取措施。
不足：准确性：误报率和漏报率。
     有效性：难以及时阻断危险行为。