三、入侵检测功能

　　·监督并分析用户和系统的活动

　　·检查系统配置和漏洞

　　·检查关键系统和数据文件的完整性

　　·识别代表已知攻击的活动模式

　　·对反常行为模式的统计分析

　　·对操作系统的校验管理，判断是否有破坏安全的用户活动。

　　·入侵检测系统和漏洞评估工具的优点在于：

　　·提高了信息安全体系其它部分的完整性

　　·提高了系统的监察能力

　　·跟踪用户从进入到退出的所有活动或影响

　　·识别并报告数据文件的改动

　　·发现系统配置的错误，必要时予以更正

　　·识别特定类型的攻击，并向相应人员报警，以作出防御反应

　　·可使系统管理人员最新的版本升级添加到程序中

　　·允许非专家人员从事系统安全工作

　　·为信息安全策略的创建提供指导

　　·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制

　　·在无人干预的情况下，无法执行对攻击的检查

　　·无法感知公司安全策略的内容

　　·不能弥补网络协议的漏洞

　　·不能弥补由于系统提供信息的质量或完整性的问题

　　·它们不能分析网络繁忙时所有事务

　　·它们不能总是对数据包级的攻击进行处理

　　·它们不能应付现代网络的硬件及特性

　　入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。