运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。

（3）Server　Sensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。

7、发展趋势

对分析技术加以改进：采用当前的分析技术和模型，会产生大量的误报和漏报，难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后，可极大地提高检测效率和准确性，从而对真正的攻击做出反应。协议分析是目前最先进的检测技术，通过对数据包进行结构化协议分析来识别入侵企图和行为，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能；行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效，是入侵检测技术发展的趋势。

增进对大流量网络的处理能力：随着网络流量的不断增长，对获得的数据进行实时分析的难度加大，这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。

向高度可集成性发展：集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包，当发现某台设备出现问题时，可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。

上一页  [1] [2]