告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。
De
i
g2在1987年所发表的论文中，首先对入侵检测系统模式做出定义：一般而言，入侵检测通过网络封包或信息的收集，检测可能的入侵行为，并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的，入侵检测系统应包含3个必要功能的组件：信息来源、分析引擎和响应组件。
●信息来源（I
formatio
Source）：为检测可能的恶意攻击，IDS所检测的网络或系统必须能提供足够的信息给IDS，资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。
●分析引擎（A
alysisE
gi
e）：利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。●响应模组（Respo
seCompo
e
t）：能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制，如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。
3入侵检测系统的分类
入侵检测系统依照信息来源收集方式的不同，可以分为基于主机（HostBasedIDS）的和基于网络（NetworkBasedIDS）；另外按其分析方法可分为异常检测（A
omalyDetectio
AD）和误用检测（MisuseDetectio
MD），其分类架构如图1所示：
入侵检测系统（IDS）
主机型Hostbased
网络型（NetworkBased）
异常检测AD
误用检测（MD）
图1入侵检测系统分类架构图
f311主机型入侵检测系统（HostbasedI
trusio
Detectio
SystemHIDS）
基于主机的入侵检测系统是早期的入侵检测系统结构其检测的目标主要是主机系统和系统本地用户检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上系统结构如图2所示。
图2基于主机的IDS结构
其优点是：确定攻击是否成功；监测特定主机系统活动；较适合有加密和网络交换器的环境；不需要另外添加设备。其缺点：可能因操作系统平台提供的日志信息格式不同，必须针对不同的操作系统安装个别的入侵检测系统；如果入侵者经其它系统漏洞入侵系统并取得管理者的权限，那将导致主机型入侵检测系统失去效用；可能会因分布式（De
ailofServiceDoS）攻击而失去作用；当监控分析时可能会曾加该台主机的系统资源负荷，影响被监测主机的效能，甚至成为入侵r