从技术上划分入侵检测分为哪两大类

入侵检测是一种对计算机网络或系统进行安全监控和预防的方法。在现代社会，随着网络的普及和信息技术的发展，网络攻击和黑客入侵事件也越来越频繁，因此入侵检测成为了网络安全的重要组成部分。入侵检测的分类主要是根据监测的对象和技术手段来进行的。从技术上划分入侵检测可以分为基于签名的入侵检测和基于异常的入侵检测两大类。

一、基于签名的入侵检测

基于签名的入侵检测是一种基于已知攻击模式的检测方法。也就是通过已经被认定为攻击行为的特征来判断当前网络中是否有类似攻击。这种方法是在已知攻击的情况下进行检测和防御的。其主要的特点和优势是：对攻击的判断准确性高，误报率较低；检测时间较快，运行速度较快。但也存在一些不足：必须要有先前的攻击数据库来进行比对分析，因此无法检测新型攻击；针对已知攻击进行防御，容易被未知攻击绕过。

二、基于异常的入侵检测

相对于基于签名的入侵检测，基于异常的入侵检测则对未知攻击模式进行监测。这种方法是利用统计学方法，通过对网络数据流量的统计分析来学习正常数据流量的特征，并根据异常数据流量与正常数据流量的差异进行入侵检测。相比于基于签名的入侵检测，其优点主要有：能够检测大多数的未知攻击，对未知攻击有较高的准确率；能够对日常的网络状态进行长期学习，能够有效区分误报；在面对新兴攻击时，其适应能力也更高。但是，基于异常的入侵检测也存在一些缺点：存在较高的误报率；对异常差异的判断过程较为复杂，需要较多的计算和时间。

总之，在网络和信息安全方面，入侵检测技术是一项非常重要的技术手段。针对不同的安全环境和攻击态势，不同的入侵检测方法选择也具有不同的优势与不足。基于签名的入侵检测适用性较强，对已知攻击有较高的准确率，实现比较简单，但容易受到新型攻击方式的攻击波及；基于异常的入侵检测在适用范围上较灵活，对未知攻击的检测和防御具有渐进好的效果，但在实现方式和效率等方面还需进一步深入的研究和数据训练。