入侵检测系统（Intrusion Detection System，简称 IDS）是网络安全领域中用于实时监控网络或系统活动、检测异常行为或潜在威胁的关键技术。其核心功能是通过分析网络流量、系统日志、文件变化等数据，识别出未经授权的访问、恶意活动或安全策略违规行为，并及时发出警报。

补充说明：

与其他安全设备的区别

IDS属于 被动防御技术，通过监控和报警辅助管理员响应；而入侵防御系统（IPS）则属于 主动防御，不仅检测异常还会主动阻断攻击。

主要类型

- 网络入侵检测系统（NIDS）：

部署在网络边界（如路由器、交换机）监控所有数据包，适用于跨系统攻击检测。

- 主机入侵检测系统（HIDS）：针对单个主机或系统进行监控，分析文件系统、进程等行为。

工作流程

- 数据收集：

捕获网络流量、系统日志等数据；

- 特征匹配与分析：与预设的攻击模式或行为基线进行对比；

- 响应机制：检测到异常后触发警报或自动阻断连接。

发展历程

- 最早出现于1980年，后续演变为入侵检测专家系统（IDES），再发展为现代IDS，功能不断强化。

综上，IDS是网络安全架构中不可或缺的组成部分，通过实时监控与智能分析，为防御网络威胁提供重要支持。