如今的网络安全不再仅仅是单个技术的解体，而要依靠多种技术相结合而产生的混合体。防火墙、杀毒软件、安全策略成了计算机安全必备之物，其实在电脑安全领域中，入侵检测系统也必不可少，当了解了恶意用户的不法举动后，对症下手制定方案才能收到奇效。

    入侵检测的用途
    目前在网络中流行的入侵检测系统(Intrusion Detection System，IDS)可以在恶意用户入侵时发出警告来通知用户，此种检测安全手段非常适合于在防火墙的基础之上安装在中、大型企业网络中。网民们都知道，一台普通的计算机中一般都是以安装防火墙的方式来阻止通信量，而对于企业网络主机来说，就得安装一个入侵检测系统IDS，才能够在防火墙的基础之上，更准确的检测出恶意通信量(如果存在恶意通信的话)。而IDS在发觉异常情况时会向系统管理员发出警报。以上行为基本来说：IDS通常都是较大规模网络安全结构必不可少的一部份，是建立在防火墙基础之上的。

    入侵检测使用范围
    IDS和IPS目前只适用于中大型网络，对于只有小型网络和若干IT工作人员的中小型企业来说，大型IDS入侵检测系统造价偏高而且还得投入工作人员全天候进行监控，相对来说不划算。但由于其小型企业只能利用防火墙对其实现安全防护，这显然是不够的，这让很多入侵行为绕过并造成损失。困此小型企业可以尝试使用小型网络产品或者利用外包商们专为中小型企业提供的检测和预警服务，在防火墙产品以备的情况下完善安全机制。由此可以得出，IDS应该是一个多层防御系统的一部份，这个防御系统还应包括安全管理等。

    建立IDS应备问题
    如果企业在拥有防火墙的基础之上建立入侵检测系统时，应首先评考虑目前的网络规模和范围以及需要保护的数据和基础设施类型，由于IDS只是一种安全硬件，会产生比防火墙、病毒、垃圾邮件、内容管理过滤器更强大的功能，这对于一个极小的网络来说，他会是一个很大的负担，甚至会影响网络的使用性能。只有用户根据实地情况制定后，才可以对相关的IDS或IPS进行评测考证，随后才能讨论IDS如何能融入现有的事件应对策略中。

    在小型企业中，配备好一个处理能力良好的防火墙会比完备的IDS更好控制，但是防火墙只能阻止不必要的网络通信量，并不会每时每刻记录事件的发生。而对于IDS来说则可以记录不必要的通信量，虽然有时不进行阻止，但在记录中发现不明规则的同时，可以利用防火墙新建策略对其进行阻止访问，所以防火墙与IDS是功能互补，相互依赖的。

    目前市面上也有很多产品结合了IDS、防火墙、过滤以及其他功能，成为一种功能便利的防入侵工具，当中小型企业在考虑为小型网络购买一个价廉物美的设备时，可以优先考虑此类产品。

    IDS建立方案
    据目前网络中的入侵手段分析得知，通常恶意用户在入侵一台服务器时会先侵入较低保护的系统，然后利用该系统作为跳板平台，另行入侵到关键系统中。因此再考虑IDS产品融入到当前的应对策略时，应对目前服务器中存储的信息进行风险分析，不仅要考虑数据性，也要考虑系统结构和低风险系统到高风险系统的可侵入性。

    IDS并不是独立工作。如果要想IDS对网络实现有力保护，那其设备必段安装在防火墙的两边以及内网和外网的通信量流入的网关处，让其检测无论是内部的还是外部的所有通信量，并将不同网段的检测结果进行对比，那样才能确定攻击的来源或者试图入侵的恶意程序。而对于安全突发的内部攻击，即可通过IDS入侵检测系统对内部网段可疑活动的检测，让其浮出水面。 虽然审查系统警报是个复杂的过程，往往会出现很多假情况线路，但是精明的管理人员依然可以从恶意用户例行试探网络的普通数据中找出其入侵之路。

    产品应用
    iPolicy 3.0版，使用了被称之为Real-Time Vulnerability Correlation (RVC)的程序，而RVC则是利用了来自Nessus的数据(简介：Nessus是Tenable网络安全公司的一种流行的扫描工具)以及eEye公司的Retina（小提示：Retina可以将实时威胁信息与Common Vulnerabilities and Exposures和BugTraq两个IT安全界中有名的漏洞数据库中的数据进行比较）。其不仅包括了抗滤过性病毒保护，还可以监控网络中即时通迅信息和其它点对点式的通信，无论是标准端口还是非标准忙碌端口都在其掌握之中。并且用户可以根据自身资产的情况确定威胁程度，让IDS和IPS在遇到情况时发出警报，

    而TriGeo的 Security Information Manager(安全信息管理器)因为实时日志分析而出名，其虽然不像iPolicy一样能进行细致的入侵检测，但却能将日志信息集中形成单一的报告，时间排列的一目了然，使得管理人员一看便知应采取何种防护措施。

    另外中小型企业也可以通过专门从事入侵监控和事故应对的公司来实施保护，而无须使用专门的硬件IDS设备。由于他们都是处理入侵事件的专家，都可以从各自的网络操作中心对中小型企业系统进行远程扫描和网络管理。其厂商分别为加州的Redwood Shores公司、Symantec公司及亚特兰大的互联网安全系统公司(Internet Security Systems Inc.)。

    安全结构
    随着黑客技术的提升，使得安全事业需要更快的发展，以应对网络各种胁威。虽然目前入侵检测系统IDS以成为安全保护的一份子，使得硬件即应用程序都在其守护之列，并具备了强大的检测功能。但还须结合防火墙、漏洞管理，网络接入控制和端点策略等交错使用，才能相得益彰。这里笔者认为IDS应当仅被视为网络安全计划的一部份，而非全部。