网络入侵检测系统(network intrusion detection system，NIDS)，是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为，进行检测的软件与硬件的组合。

网络入侵检测系统通常包括三个必要的功能组件：信息来源、分析引擎和响应组件。

信息来源：它负责收集被检测网络或系统的各种信息，并把这些信息作为资料提供给IDS分析引擎组件。

分析引擎：它利用统计或规则的方式找出可能的入侵行为，并将事件提供给下面的响应组件。

响应组件：它根据分析引擎的输出采取应有的行为，通常具有自动化机制，如主动通知系统管理员、中断入侵者的连接和搜集入侵信息等。

(1)监测并分析用户和系统的活动。

(2)核查系统配置和漏洞。

(3)评估系统关键资源和数据文件的完整性。

(4)识别已知的攻击行为。

(5)统计分析异常行为。

(6)操作系统日志管理，并识别违反安全策略的用户活动。

(1)能够检测那些来自网络的攻击和超过授权的非法访问。

(2)不需要改变服务器等主机的配置，也不会影响主机性能。由于这种检测技术不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

(3)风险低。由于网络入侵检测系统不像路由器、防火墙等关键设备那样会成为系统中的一个关键路径，所以网络入侵检测系统发生故障时不会影响正常业务的运行。

(4)配置简单。网络入侵检测系统近年来有向专门设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

(1)误/漏报率高。入侵检测系统(IDS)常用的检测方法有特征检测、异常检测、状态检测和协议分析等，这些检测方式都存在一定的缺陷。因此，从技术上讲，IDS系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往被淹没在海量的报警信息中，而漏掉真正的报警。

(2)没有主动防御能力。IDS技术采用了一种预置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。

(3)缺乏准确定位和处理机制。IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时也会影响其他正常用户的使用，缺乏更有效的响应处理机制。

(4)性能普遍不足。市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片的情况下可能造成IDS的瘫痪或丢包，形成DoS攻击。