对各种事件进行分析从中发现真违反安全策略的行为是入侵检测系统的核心功能从技术上入侵检测分为两种一种基于标识的另一种基于异常情况.
对于基于标识的检测技术来说首先要定义违背安全策略的事件的特征如网络数据包的某些头信息检测主要就是差别在所收集到的数据中是否出现了这类特征此方法非常类似杀病毒软件.
而基于异常的检测技术则是先定义一组系统正常情况的数值如CPU利用率内存利用率文件校验和等然后将系统运行时的数值与所定义的正常情况比较得出是否有被攻击的迹象这种检测方式的核心在于如何定义所谓的正常情况.
以上两种检测技术的方法所得出的结论有非常大的差异基于异常的检测技术的核心是维护一个知识库.对于已知的攻击它可以详细准确地报告出攻击类型但是对未知攻击却效果有限而且知识库必须不断更新基于异常的检测技术则无法差别出攻击的手法但它可以差别更广泛甚至未发觉攻击如果条件允许两者结合的检测会达到更好的效果.