什么是异常入侵检测？

异常入侵检测，检测从网络到本地的所有链路，发现异常的、侵入性的链路并加以阻止。

IETF将入侵检测系统分为四个部分:

事件生成器，其目的是从整个计算环境中获取事件，并将它们提供给系统的其他部分。

事件分析器，通过分析获取数据并产生分析结果。

响应单元，是对分析结果做出响应的功能单元，可以做出切断连接、改变文件属性等强烈反应，也可以简单报警。

事件数据库事件数据库是存储各种中间数据和最终数据的地方的总称。它可以是复杂的数据库，也可以是简单的文本文件。

安全策略

根据入侵检测的行为，入侵检测系统分为两种模式:异常检测和误用检测。前者首先要建立一个系统访问正常行为的模型，任何访问者不符合这个模型的行为都会被判定为入侵；后者则相反，要先把所有可能的不利的、不可接受的行为归纳起来建立一个模型，来访者任何符合这个模型的行为都会被判定为入侵。

这两种模式的安全策略完全不同，各有利弊:异常检测的漏报率很低，但不符合正常行为模式的行为不一定是恶意攻击，所以这种策略的误报率很高；误用检测的误报率很低，因为它直接匹配异常比较的不可接受行为模式。

但是，恶意行为千变万化，行为模式库中可能没有收集到，所以漏报率很高。这就需要用户根据本系统的特点和安全需求来制定策略和选择行为检测模式。现在用户采用两种模式结合的策略。

以上内容参考:百度百科-异常入侵检测，百度百科-入侵检测系统。