網絡入侵檢測系統的核心是什么

網絡入侵檢測系統的核心是其檢測技術也就是對各種事件進行分析，從中發現違反安全策略的行為，入侵檢測分為兩類：一種基于標志（signature-based），另一種基于異常情況（anomaly-based）。對于基于標志的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。

而基于異常的檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、并用統計的辦法得出），然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。

兩種檢測技術的方法、所得出的結論有非常大的差異。基于標志的檢測技術的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。