入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全體系中的重要組成部分，旨在監(jiān)控和分析網(wǎng)絡(luò)或系統(tǒng)中的活動(dòng)，以識(shí)別潛在的安全威脅或違規(guī)行為。根據(jù)其核心檢測(cè)技術(shù)的工作原理，IDS主要可以劃分為兩大類：基于簽名的入侵檢測(cè)系統(tǒng)和基于異常的入侵檢測(cè)系統(tǒng)。

第一類是基于簽名（Signature-Based）的入侵檢測(cè)系統(tǒng)。這類系統(tǒng)依賴于一個(gè)預(yù)先定義好的攻擊特征數(shù)據(jù)庫(kù)，即“簽名庫(kù)”。系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量或系統(tǒng)日志，將其與簽名庫(kù)中的已知攻擊模式進(jìn)行比對(duì)。一旦發(fā)現(xiàn)匹配的特征，就會(huì)觸發(fā)警報(bào)。其工作原理類似于傳統(tǒng)的殺毒軟件，主要優(yōu)勢(shì)在于檢測(cè)已知攻擊的準(zhǔn)確率高、誤報(bào)率相對(duì)較低，并且能夠明確識(shí)別攻擊的具體類型。其顯著局限性在于無(wú)法檢測(cè)未知的、新型的或經(jīng)過(guò)變種的攻擊（即“零日攻擊”），并且需要持續(xù)更新和維護(hù)龐大的簽名庫(kù)以應(yīng)對(duì)新的威脅。

第二類是基于異常（Anomaly-Based）的入侵檢測(cè)系統(tǒng)。這類系統(tǒng)首先通過(guò)機(jī)器學(xué)習(xí)、統(tǒng)計(jì)分析或行為建模等方法，建立一個(gè)系統(tǒng)或網(wǎng)絡(luò)在正常狀態(tài)下的行為“基線”模型。在后續(xù)的監(jiān)控中，系統(tǒng)會(huì)將實(shí)時(shí)活動(dòng)與這個(gè)基線模型進(jìn)行對(duì)比，任何顯著偏離正常模式的行為都會(huì)被標(biāo)記為異常并可能觸發(fā)警報(bào)。其主要優(yōu)勢(shì)在于理論上能夠檢測(cè)出未知的新型攻擊和內(nèi)部威脅，因?yàn)楣粜袨橥鶗?huì)導(dǎo)致活動(dòng)模式偏離常態(tài)。但其主要挑戰(zhàn)在于誤報(bào)率可能較高（因?yàn)檎５摹⑿碌牡菒阂獾男袨橐部赡鼙徽`判為異常），并且建立準(zhǔn)確、全面的正常行為基線模型本身是一項(xiàng)復(fù)雜且動(dòng)態(tài)的工作。

基于簽名的IDS和基于異常的IDS代表了兩種互補(bǔ)的技術(shù)路徑。在實(shí)際的網(wǎng)絡(luò)安全部署中，為了構(gòu)建更健壯的防御體系，許多現(xiàn)代入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）往往會(huì)融合這兩種技術(shù)，取長(zhǎng)補(bǔ)短，以提高對(duì)各類威脅的整體檢測(cè)和響應(yīng)能力。