入侵检测系统(IDS)

入侵检测

入侵检测（Intrusion Detection）是指发现或确定入侵行为存在或出现的动作，也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为，或发现并调查系统中可能为视图入侵或病毒感染所带来的异常活动。

入侵检测系统

入侵检测系统(Intrusion Detection Systems，IDS）被定义为：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

入侵检测系统提供了用于发现入侵攻击与合法用户滥用特权的一种方法，IDS解决安全问题是基于如下假设的：入侵行为和合法行为是可区分的，也就是说可以通过提取行为的模式特征来判断该行为的性质。

在本质上，入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

入侵检测系统的功能

监测并分析用户和系统的活动
核查系统配置和漏洞
对操作系统进行日志管理，并识别违反安全策略的用户活动
针对已发现的攻击行为作出适当的反应，如告警、中止进程等

一个基本的入侵检测系统需要解决两个问题：一是如何区分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。

缺点

IDS ---- 一种侧重于风险管理的安全机制，有很大的滞后性。

特点

运用旁路部署：是一种并联部署的模式，不影响其他路。
- 交换机上的镜像口：复制其他接口抓发的数据包，并且从到镜像接口转发出去

IDS的功能

应用于不同的网络环境和不同的系统安全策略，IDS在具体实现上也有所不同。从系统构成上看，IDS至少包括数据提取、入侵分析、响应处理三大部分，另外还可以结合安全知识库、数据存储等功能模块，提供更为完善的安全检测技术和分析功能。

数据提取模块在IDS中居于基础地位，负责提取反映受保护系统运行状态的运行数据，并完成数据的过滤及其他预处理工作，为入侵分析模块和数据存储模块提供原始的安全审计数据，是IDS的数据采集器。
入侵分析模块是IDS的核心模块，包括对原始数据进行同步、整理、组织、分类、特征提取以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于正常和异常行为的判断。这种行为的鉴别可以实时进行，也可以是事后的分析。
响应处理模块的工作实际上反映了当发现了入侵者的攻击行为之后，该怎么办的问题。可选的相应措施包括主动响应和被动响应。前者以自动的或用户设置的方式阻断攻击过程；后者则只对发生的时间进行报告和记录，由安全管理员负责下一步的行动。

IDS的部署方式

共享模式和交换模式：从 HUB 上的任意一个接口，或者在交换机上做端口镜像的端口上收集信息。
隐蔽模式：在其他模式的基础上将探测器的探测口 IP 地址去除，使得 IDS 在对外界不可见的情况下正常工作。
Tap 模式：以双向监听全双工以太网连接中的网络通信信息，能捕捉到网络中的所有流量，能记录完整的状态信息使得与防火墙联动或发送 Reset 包更加容易。
In-line 模式：直接将 IDS 串接在通信线路中，位于交换机和路由器之间。这种模式可以将威胁通信包丢弃，以实时阻断网络攻击。
混合模式：通过监听所有连接到防火墙的网段，全面了解网络状况。

IDS的工作过程

误报(false positive)：实际无害的事件却被IDS检测为攻击事件。
漏报(false negative)：一个攻击事件未被IDS检测到或被分析人员认为是无害的。

第一步：信息收集 收集的内容包括系统、网络、数据及用户活动的状态和行为。

入侵检测利用的信息一般来自以下四个方面：

系统日志：黑客经常在系统日志中留下他们的踪迹。
目录以及文件的异常改变：网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。
程序执行中的异常行为：网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致运行失败，或者是以非用户或非管理员意图的方式操作。
物理形式的入侵信息：这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的未授权访问。

第二步：数据分析

一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为
统计分析：统计分析方法首先给系统对（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值如果超过了正常值范围，就认为有入侵发生。
- 优点：可检测到未知的入侵和更为复杂的入侵。
- 缺点：误报、漏报率高，且不适应用户正常行为的突然改变。
完整性分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被修改成类似特洛伊木马的应用程序方面特别有效。
- 优点：不管模式匹配方法和统计分析方法能否发现入侵，只要是有入侵行为导致了文件或其他对象的任何改变，它都能够发现。
- 缺点：一般以批处理方式实现，不用于实时响应。

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。

IDS的分类

基于数据源分类

基于主机的入侵检测系统（HIDS）

构成分为：

探测器：分布在网络不同区域，通过侦听获取网络包，将检测到的攻击行为形成报警事件，向管理控制器发送报警信息，报告入侵行为的发生
管理控制器：监控不同网络区域的探测器，接收来自探测器的报警信息（≈总控端）

适合检测的入侵行为：

同步风暴 SYN Flood
分布式拒绝服务攻击 DDoS
网络扫描
缓冲区溢出
协议攻击
流量异常
非法网络访问
基于主机IDS的检测目标是主机系统和系统本地用户；

原理：根据主机的审计数据和系统日志发现可疑事件。该行动通常运行在被监测的主机或服务器上，实时检测主机安全性方面诸如操作系统日志文件、审核日志文件、应用程序日志文件等的情况，其效果依赖于数据的准确性以及安全事件的定义。诸如这种类型的IDS是利用主机操作系统及应用程序的审核踪迹作为输入的主要数据源来检测入侵。基于主机的IDS被设计成检测IDS代理所驻留的宿主机，如下图所示，这种IDS可以检测到网络协议栈的高层数据，也可以检测到被监视主机上的本地活动，如文件修改和用户账户的建立。

在图中的C/S通信模式下，客户机对服务器上的访问活动将被服务器日志所记载，IDS代理检测这些记录用户活动信息的日志文件，将它们与事先知道的用户正常行为模式进行匹配。

基于主机的IDS有两种主要应用类型：基于应用和基于操作系统。

基于应用的IDS从应用层服务中收集数据。例如，数据库管理软件、web服务程序或防火墙等产生的日志服务等，数据源包括了应用时间日志和其他存储于应用程序内部的数据信息。这种方式可以更好地获取系统上的用户活动，但也存在应用层的脆弱性会破坏监视和检测的弱点。
基于操作系统的IDS搜索在特定系统上的活动消息，这些信息可以是操作系统产生的审计踪迹，也可以是系统日志等。这种方式可以监控对系统访问的主体和对象，并且可以将可疑的活动映射到特定的用户ID上。同样操作系统的脆弱性也会破坏IDS监视与入侵分析的完整性，同时基于操作系统的IDS必须建立在特定的操作系统上，这样就增加了开销。

优点：基于主机的IDS具有检测效率高、分析代价小、分析速度快的优点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。
缺点：首先一定程度上依赖系统的可靠性；同时主机日志能够提供的信息是有限的，日志系统对网络层的入侵行为无能为力。
特点
- 基于主机的IDS从单个主机上提取数据作为入侵分析的数据源；
- 通常来说基于主机的IDS只能检测单个主机系统；

基于网络的入侵检测系统（NIDS）

基于网络的IDS搜集来自网络层的信息，监视网络数据流。
通常来说，网咯适配器可以工作在两种不同的模式：正常模式和混杂模式。处于正常模式时，网络适配器只能接收到共享网络中发向本机的数据包，丢弃其他目标主机的数据包；处于混杂模式时，网络适配器可以接收所有在网络中传输的数据包，并交给操作系统或应用程序进行分析，这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。
从图中可以看出，基于网络的IDS位于客户端与服务器的通信链路中央，可以访问到通信链路的所有层次，因此这种IDS可以监视和检测网络层的攻击。
从理论上来说，网络监视可以获得所有的网络信息数据，在没有特定的审计或日志机制的情况下，也可以获得数据；只要时间允许，可以在庞大的数据堆中提取和分析需要的数据；可以对一个子网进行检测，一个监视模块可以监视同一网段的多台主机的网络行为；可以通过增加代理来监视网路，不会影响现存的数据源，不改变系统和网络的工作模式，也不影响主机性能和网络性能；处于被动接受方式，很难被入侵者发现，隐藏性好；可以从底层开始分析，对基于协议攻击的入侵手段有较强的分析能力。
基于网络的IDS主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确地判断；如果网络数据被加密，IDS就不能扫描协议或内容。
特点
- 基于网络的IDS从网络上提取数据作为入侵分析的数据源；
- 基于网络的IDS可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网络的IDS可以协同工作以提供更强的入侵检测能力。

基于检测方法分类

异常检测（Anomaly Detection）

根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。

优点：
- 异常检测与系统相对无关，通用性较强，甚至可以检测出以前未出现过的攻击方法。
缺点：
- 由于不可能对整个系统内的所有用户行为进行全面的描述，而且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高，尤其在用户数据众多，或工作方式经常改变的环境中。
- 另外由于行为模式的统计数据不断更新，入侵者如果知道某系统处在检测器的监视下时，他们可以通过恶意的训练方式，促使检测系统缓慢得更改统计数据，以至于最初认为是异常的行为，经过一段时间的训练后被认为是正常的。

误用检测（Misuse Detection）

根据已定义好的入侵模式，通过判断在实际的安全审计数据中是否出现这些入侵模式来完成检测功能。

大部分的入侵行为都是利用了一直的系统脆弱性，因此通过分析入侵过程的特征、条件、顺序以及事件间的关系，可以具体描述入侵行为的迹象。

优点：
- 误用检测有时也被称为特性分析或基于知识的检测。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为管理员及时做出相应措施提供了方便。
缺点：
- 误用检测的缺陷在于检测范围受已有知识的局限，无法检测未知的攻击类型。
- 另外检测系统对目标系统的依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也是比较困难的，对于某些内部的入侵行为，如合法用户的泄密等，由于这些入侵行为并没有利用系统的脆弱性，因此误用检测也是无能为力的。

根据体系结构分类

集中式

集中式入侵检测系统包含多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器，审计程序把收集到的数据发送给中央服务器进行分析处理。

缺点：
- 这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。
- 随着网络规模的增加，主机审计程序和服务器之间传送的数据量激增，会导致网络性能大大降低。
- 并且一旦中央服务器出现故障，整个系统就会陷入瘫痪。此外，根据各个主机不同需求配置服务器也非常复杂。

等级式

在等级式(部分分布式)入侵检测系统中，定义了若干个分等级的监控区域，每个入侵检测系统负责一个区域，每一级入侵检测系统只负责分析所监控区域，然后将当地的分析结果传送给上一级入侵检测系统。

缺点：
- 当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；
- 这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性改进。

协作式

协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。

优点：可伸缩性、安全性都得到了显著的提高，
缺点：维护成本也相应增大，并且增加了所监控主机的工作负荷，如通信机制，审计开销，踪迹分析等。

根据工作方式分类

离线检测

离线检测系统是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件。

优点：这类系统的成本低，可以分析大量事件，调查长期情况。
缺点：但由于是事后进行的，不能对系统提供及时的保护，而且很多入侵在完成后会删除相应的日志，因而无法进行审计。

在线监测

在线监测对网络数据包或主机的审计事件进行实时分析，可以快速响应，保护系统安全，但在系统规模较大时难以保证实时性。

入侵检测技术

误用检测技术

基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

前提：所有的入侵行为都有可被检测到的特征。
指标：误报低、漏报高。
攻击特征库：当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。
过程：监控 ---> 特征提取 --->匹配 --->判定

缺点：无法检测出新型攻击。

优点：准确率高、算法简单

特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。

建立入侵行为模型(攻击特征)
假设可以识别和表示所有可能的特征
基于系统和基于用户的误用

关键问题

要识别所有的攻击特征，就要建立完备的特征库
特征库要不断更新
无法检测新的入侵

异常性检测方法

基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。

前提：入侵是异常活动的子集。
指标：漏报率低，误报率高。
用户轮廓(Profile)：通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围。

异常性检测技术使一种不需要操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是在许多环境中，为用户建立正常行为模式的特征轮廓及对用户活动的异常性进行报警的门限值的确定都是比较困难的事，所以仅使用异常性检测技术不可能检测出所有的入侵行为。

目前这类IDS多采用统计，或者基于规则描述的方法，建立系统主体的行为特征轮廓：

统计特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述。
基于规则描述的特征轮廓，由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成。
神经网络方法具有自学习、自适应能力，可以通过自学习提取正常的用户或系统活动的特征模式，避开选择统计特征这一难题。

补充

静态配置分析

静态检测分析通过检查系统的当前系统配置，如系统文件的内容或系统表，来检测系统是否已经或可能会遭到破坏。

静态是指检查系统的静态特征（系统配置信息），而不是系统中的活动。

采用静态分析方法主要有以下几个方面的原因：

入侵者对系统攻击时可能会留下痕迹，这可通过检查系统的状态检测出来；
系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；
另外系统在遭到攻击后，入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。

所以静态配置分析方法需要尽可能了解系统的缺陷，否则入侵者只需要简单地利用那些系统中位置的安全缺陷就可以避开检测系统。

完整性分析（异常检测）

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（签名），称为消息摘要函数（例如MD5），能识别及其微小的变化，以此判断入侵

方法：建立完整性分析对象（文件/目录/数字资源）在正常状态时的完整性签名，匹配签名值是否发生变化
优点：不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现
缺点：一般以批处理方式实现，不用于实时响应

基于行为的检测方法

通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。

目前基于行为的IDS只是在表示入侵模式的方式以及在系统的审计中检查入侵签名的机制上有所区别，主要可以分为基于专家系统、基于状态迁移分析和基于模式匹配等几类。

这些方法的局限性在于：只是根据已有的入侵序列和系统缺陷模式来检测系统中的可疑行为，而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。

误用检测与异常检测比较

入侵响应技术

主动响应： 入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。

形式：

由用户驱动
系统本身自动执行

基本手段：

对入侵者采取反击行动（严厉方式；温和方式；介于严厉和温和之间的方式）
修正系统环境
收集额外信息

被动响应： 入侵检测系统仅仅简单地报告和记录所检测出的问题。

形式：只向用户提供信息而依靠用户去采取下一步行动的响应。

基本手段：

告警和通知
SNMP（简单网络管理协议），结合网络管理工具使用。

IDS的局限性

布置和绕过

网络拓扑局限

对于一个较复杂的网络而言，通过精心地发包，可以导致NIDS与受保护的主机收到的包的内容或者顺序不一样，从而绕过NIDS的监测。
其他路由

由于一些非技术的因素，可能存在其他路由可以绕过NIDS到达受保护主机（例如某个被忽略的Modem，但Modem旁没有安装NIDS）。如果IP源路由选项允许的话，可以通过精心设计IP路由绕过NIDS。
TTL

如果数据分组到达 NIDS 与受保护的主机的 HOP 数不一样，则可以通过精心设置 TTL值来使某个数据分组只能被NIDS或者只能被受保护的主机收到，从而使NIDS的Sensor与受保护主机收到的数据分组不一样，从而绕过NIDS的监测。
MTU

如果NIDS的MTU与受保护主机的MTU不一致的话（由于受保护的主机各种各样，其MTU设置也不一样），则可以精心设置MTU处于两者之间，并设置此包不可分片，使NIDS的Sensor与受保护主机收到的数据分组不一样，从而绕过NIDS的检测。
TOS

有些网络设备会处理TOS选项，如果NIDS与受保护主机各自连接的网络设备处理不一样的话，通过精心设置TOS选项，将会导致NDIS的Sensor与受保护主机收到的数据分组的顺序不一样，于是有可能导致NIDS重组后的数据分组与被保护主机的数据分组不一致，从而绕过NIDS的监测（尤其在UDP包中）。

针对IDS的检测方法局限

NIDS的局限性
- NIDS 常用的检测方法有特征检测、异常检测、状态检测、协议分析等。实际中的商用入侵检测系统大都同时采用几种检测方法。
- NIDS不能处理加密后的数据，如果数据在传输中被加密，即使只是简单的替换，NIDS也难以处理，如采用SSH、HTTPS、带密码的压缩文件等手段，都可以有效地防止NIDS的检测。
- NIDS难以检测重放攻击、中间人攻击、对网络监听也无能为力。
- 目前的NIDS还难以有效地检测DDoS攻击。
系统实现局限
- 由于受NIDS保护的主机及其运行的程序各种各样，甚至对同一个协议的实现也不尽相同，入侵者可能利用不同系统的不同实现的差异来进行系统信息收集（如Nmap通过TCP/IP指纹来进行对操作系统的识别）或者进行选择攻击，由于NIDS不大可能通晓这些系统的不同实现，故而可能被入侵者绕过。
异常检测的局限
- 异常检测通常采用统计方法来进行检测。统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值会产生大量的漏报，例如系统中配置为200个/秒半开TCP连接为SYN_Flooding，则入侵者每秒建立199个半开连接将不会被视为攻击。
- 异常检测常用于对端口扫描和 DDoS 攻击的检测。NIDS 存在一个流量日志的上限，如果扫描间隔超过这个上限，NIDS将忽略掉这个扫描。尽管NIDS可以将这个上限配置得很长，但此配置越长，对系统资源要求越多，受到针对NIDS的DDoS攻击的可能性就越大。
特征检测的局限
- 特征检测主要针对网络上公布的黑客工具或者方法，但对于很多以源代码发布的黑客工具而言，很多入侵者可以对源代码进行简单的修改（如黑客经常修改特洛伊木马的代码），产生攻击方法的变体，就可以绕过NIDS的检测。

针对应用协议局限

对于应用层的协议，一般的NIDS只简单地处理了常用的如HTTP、FTP、SMTP等，尚有大量的协议没有处理，也不大可能全部处理，直接针对一些特殊协议或者用户自定义协议的攻击，都能很好地绕过NIDS的检查。

针对IDS资源及处理能力局限

（1）大流量冲击

攻击者向被保护网络发送大量的数据，超过NIDS的处理能力有限，将会发生分组的情况，从而可能导致入侵行为漏报。

（2）IP碎片攻击

攻击者向被保护网络发送大量的IP碎片（如TARGA3攻击），超过NIDS能同时进行的IP碎片重组能力，从而导致通过IP分片技术进行的攻击漏报。

（3）TCP Connect Flooding

攻击者创建或者模拟出大量的TCP连接（可以通过上面介绍的IP重叠分片方法），超过NIDS同时监控的TCP连接数的上限，从而导致多余的TCP连接不能被监控。

（4）Alert Flooding

攻击者可以参照网络上公布的检测规则，在攻击的同时故意发送大量的将会引起 NIDS报警的数据（例如stick攻击），将可能超过NIDS发送报警的速度，从而产生漏报，并且使网管收到大量的报警，难以分辨出真正的攻击。

（5）Log Flooding

攻击者发送大量的将会引起NIDS报警的数据，最终导致NIDS进行Log的空间被耗尽，从而删除先前的Log记录。

补充

IDS的签名是什么意思？

IDS的签名：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时，设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。

签名过滤器有什么作用？

签名过滤器作用：由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。

例外签名配置作用是什么？

例外签名配置作用：为了就是用于更细致化的进行IPS流量的放行。

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
放行：对命中的报文方向=行，且不记录日志。

分布式入侵检测系统（DIDS）

网络系统结构的复杂化和大型化，使得系统的弱点或漏洞分散在网络中的各个主机上，这些弱点有可能被入侵者用来攻击网络，而仅依靠一个主机或网络的入侵检测系统很难发现入侵行为。入侵行为不再是单一的行为，而是表现出相互协作入侵的特点，例如分布式拒绝服务攻击。入侵检测所依靠的数据来源分散化，使得收集原始的检测数据变得比较困难。

分布式入侵检测系统（DIDS）的目标是既能检测网络入侵行为，又能检测主机的入侵行为。

基于网络的技术面临的问题：在某些采用交换技术的网络环境中，交换机制使得网络报文不能在子网内任意广播，只能在设定的虚网（VLAN）内广播，这就使得进行网络监听的主机只能提取到本虚网内的数据，监视范围大为减少，监视的能力也受到削弱。