特征入侵检测和异常入侵检测。异常入侵检测。

入侵检测系统(Intrusion Detection System,IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。入侵检测是基于入侵者的行为不同于一个合法用户的行为。通过可以量化的方式表现出来的假定。当然，不能期望入侵者的攻击行为和授权用户对资源的正常使用之间存在一个清楚的、 确切的界限。相反，是存在着某些重叠的。
入侵检测技术可分为以下两种。
(1)特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前，基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。
(2)统计检测
统计检测又叫异常入侵检测，假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集(Normal profile)”，当主体的活动违反其统计规律时，认为可能是“ 入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。