入侵检测系统是如何工作的？

　　问：入侵检测系统是如何工作的?

　　答：入侵检测系统(IDS)通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。他们可以是基于网络的，也可以是基于主机的。基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。

　　IDS工作方式可以是检测已知攻击信号，也可以检测反常行为。这些反常或异常行为增大堆栈，并在协议和应用层被检测到。他们可以有效地检测到诸如Xmas tree扫描，DNS中毒和其他的恶意数据包。

　　一个基于网络的良好的IDS是SNORT。它是免费的，而且可以在Linux和Windows上运行。建立起来的一个简单的方法是扫描一个端口，允许这个端口截获所有横跨网络节点的所有流量。在你的操作系统上安装SNORT，使用“只接受”的网络线缆把它连接到网络的这一部分。一旦你配置了你的规则，就准备好了。