入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)方法、統(tǒng)計(jì)檢測(cè)方法與專家系統(tǒng)檢測(cè)方法。目前市場(chǎng)上的入侵檢測(cè)產(chǎn)品中，絕大部分屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品。

1.特征檢測(cè)方法

特征檢測(cè)對(duì)已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被檢測(cè)的事件與已知的入侵事件模式相匹配時(shí)系統(tǒng)立即報(bào)警。特征檢測(cè)對(duì)已知的入侵和攻擊模式準(zhǔn)確率較高，但對(duì)于未知的入侵與攻擊模式無(wú)能為力，其工作機(jī)制與計(jì)算機(jī)病毒檢測(cè)方式類似。目前基于對(duì)數(shù)據(jù)包特征描述的模式匹配應(yīng)用較為廣泛。

2.統(tǒng)計(jì)檢測(cè)方法

統(tǒng)計(jì)檢測(cè)的目的主要是判別發(fā)生的事件是否異常，它是基于統(tǒng)計(jì)模型進(jìn)行的。統(tǒng)計(jì)模型檢測(cè)中常常檢測(cè)的內(nèi)容包括事件的數(shù)量、間隔時(shí)間、資源消耗情況等。統(tǒng)計(jì)檢測(cè)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”事件發(fā)生的規(guī)律，具有較高的檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以“訓(xùn)練”的機(jī)會(huì)，入侵者可以通過(guò)逐步使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律來(lái)騙過(guò)入侵檢測(cè)系統(tǒng)。

3.專家系統(tǒng)檢測(cè)方法

專家系統(tǒng)的入侵檢測(cè)方法是基于知識(shí)庫(kù)規(guī)則的檢測(cè)，通常是針對(duì)有特征的入侵行為。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵事件特征的提取和知識(shí)的表達(dá)，是建立入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，通常將入侵的特征和防范措施放入if-then結(jié)構(gòu)的啟發(fā)式知識(shí)庫(kù)規(guī)則中，規(guī)則的條件部分(if)為入侵特征，規(guī)則的動(dòng)作部分(then)是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征的入侵行為的有效性，完全取決于專家系統(tǒng)知識(shí)庫(kù)的有效性。