从技术上入侵检测技术可以分为哪些类别

随着互联网的快速发展与普及，网络空间中威胁也愈加严峻。网络攻击手段五花八门，从传统的病毒、木马到更加多样化的网络钓鱼、勒索软件等，给网络安全带来了极大的挑战。为保障网络安全，入侵检测技术应运而生，然而入侵检测技术的分类和应用范围并不为大众所熟知，本文将从技术上入侵检测技术进行分类，以期更好的理解和应用这一技术。

一、基于特征的入侵检测技术

基于特征的入侵检测技术主要指采用统计学习、机器学习等方法，将网络通信行为视为文本，提取其中的特征并进行统计和分析，从而识别网络攻击行为。

1.1、基于统计的入侵检测技术

基于统计的入侵检测技术主要依靠对网络通信数据的采集和统计分析，通过频率、比例、变异等特征来识别异常行为。它的特点是对网络通信数据的预处理要求较高，需要对网络数据的表现形式进行优化，以便提高数据质量。

1.2、基于机器学习的入侵检测技术

基于机器学习的入侵检测技术是半监督或者非监督学习的数据挖掘方法，从入侵检测的复杂网络数据中自动挖掘出网络入侵的规律性和特征模式，并基于建立的特征模型进行取消息的判别。其优点是具有一定的自适应性，能够发现网络新型攻击。

二、基于行为的入侵检测技术

基于行为的入侵检测技术则是将入侵检测技术的对象从数据转化为网络中的主体（如主机、用户）等，根据他们的行为与攻击行为进行比对和判定，提高检测准确率。

2.1、基于主机的入侵检测技术

基于主机的入侵检测技术是指在个体主机上，采用预定义规则或者行为模型，从系统活动行为中进行分析，提取特征，并识别潜在的攻击。其优点是能够真实反映网络中入侵事件对主机的影响，但是其劣势也很明显：如何在巨大的日志记录中寻找到有意义的事件？

2.2、基于网络的入侵检测技术

基于网络的入侵检测技术是利用集群技术，对数据进行聚合和分析，通过网络通信流量、设备间通信、协议等来挖掘构成攻击的异常事件。其优点是能够纵向研究网络活动信息，发现那些单个的日志记录所不能从而识别出那些在单个设备上未有发现的入侵行为。

三、兼容多种技术的入侵检测技术

兼容多种技术的入侵检测技术是综合多种方法对入侵检测进行处理，以期达到更精准判定、更低误报或漏报的效果。

综上所述，入侵检测技术可以大致分为基于特征、基于行为、兼容多种技术三个类别。一般来说，不同的类别细分后也存在很大的差异。因此，当企业选用特定类型的入侵检测技术时，要根据自身的需要和实际情况，选择强调什么方向的方法才是最优的。