入侵检测系统(IDS)既是老式的但又盛行的技术。入侵防御系统(IPS)相对来说比较新并且引发了一系列的争论。这两种工具都各有分支,下面我将详细地谈谈。一些防火墙供应商开始着手将这些技术进行合成并运用到他们开发的产品上。所有这些产品都应具备能力以某种方式向中央控制台报告数据并受中央管理。入侵检测系统是80年代末和90年代初出现的,并被分为署名版和异常版。署名版以反病毒的方式工作并且寻找与一直恶意事件相匹配的模式。异常版IDS寻找在网络协议,用户,通信行为模式或者系统核心呼叫中的异量。他们又进一步分为网络类和基于主机类。现代网络IDS(NIDS)又开发了一种单一的网络分段,通常合成使用署名、通信和协议异常检测。主机IDS(HIDS)它基于一部个人主机,监视系统日志,呼叫系统核心,并针对多变的重要文件作出相应的调整。任何一种IDS特点都是它已有的检测能力。
入侵防御系统也有许多与IDS相同的特点,特别是主机(HIPS)和网络(NIPS)等价体。通常NIPS 是联机的(基本上起桥梁的作用)以便防止切断网络的恶意通信。HIPS 能够预防一些可疑或危险的应用程序。IPS关键在于它有破坏性同时又能够防御一些那些无恶意的行为。最后,防火墙传统看来很少在应用程序层面操作,除了那些大部分与协议服从有关的应用程序代理。他们被用于执行政策,如"谁?怎样?发布何种信息?"。防火墙供应商目前正将IDS署名与其它技术合成到其产品上,从而产生一种合成防火墙和IPS的效果。所有这些技术都因为错误的警告良性事件而忽略新的或者以前的事件而名声大减。异常检测和观察真正恶意事件的系统呼叫是两种与后者相较量的方式。而目标IDS 是削弱前者的方式。