为提供用效的手段。IDS包括软硬件产品。36入侵检测系统构成：数据提取、入侵分析、响应处理、远程管理四部分组成。37入侵检测系统分类：1、基于数据源的分类有主机、网络、混合、网关、文件。2、基于检测理论的分类有异常检测和误用检测。3、基于检测时效分为在线式和离线式。38分布式IDS优势和技术难点：优势是检测大范围的攻击行为、提高检测的准确度、提高检测效率、协调响应措施。难点在于事件的产生和存储、状态空间管理和规则复杂度、知识库管理、推理技术。39入侵检测系统主要标准的名称：IETFIDWG、CIDF。40入侵检测系统的分析模型：构建分析器、对实际现场数据进行分析，反馈和提炼过程。
f41误用检测和异常检测的原理：误用检测是按照预定模式搜寻事件数据的，适用于对已知模式的可行检测。异常检测根据用户行为的特征轮廓（度量集）来判断是否合法。42CIDF体系结构组成：由事件产生器、事件分析器、响应单元、事件数据库组成。43IDS研究热点：神经网络、免疫学方法、数据挖掘方法、基因算法、基于代理的检测。44安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。可分为人为或非人为两大类。45安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。46端口扫描的基本原理是向目标主机的TCPIP端口发送探测数据包，并记录目标主机的响应，通过分析响应来判断端口是打开还是关闭等状态信息。可分为TCPUDP端口扫描两种。47漏洞威胁的等级分类：低、中、高严重度。48漏洞的分类方法：按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类。49网络安全检测技术分类：端口扫描技术、操作系统探测技术、安全漏洞探测技术（分为信息型和攻击型）。
f50操作系统类型探测的主要方法：获取标识信息探测技术、基于TCPIP协议栈的操作系统指纹探测技术、ICMP响应分析探测技术。51信息型漏洞探测原理是大部分网络安全漏洞与特定的目标状态直接相关，通过探测此类信息即可在很大程度上确定目标存在的安全漏洞。52攻击型漏洞探测原理是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表示相应安全漏洞一定存在。53计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。54r