入侵檢測的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威脅”等術語，這里所指的“威脅”與入侵的含義基本相同，將入侵嘗試或威脅定義為:潛在的、有預謀的、未經授權的訪問企圖，致使系統不可靠或無法使用。1987年DorothyE. Denning首次給出一個入侵檢測的抽象模型，并將入侵檢測作為一個新的安全防御措施提出。1988年，Morris蠕蟲事件加快了對入侵檢測系統(IDS:Intrusion Detection System)的開發研究。
一、目前IDS存在的缺陷
　　入侵檢測系統作為網絡安全防護的重要手段，有很多地方值得我們進一步深入研究。目前的IDS還存在很多問題，有待于我們進一步完善。
　　1.高誤警(誤報)率
　　誤警的傳統定義是將良性流量誤認為惡性的。廣義上講，誤警還包括對IDS用戶不關心事件的告警。因此，導致IDS產品高誤警率的原因是IDS檢測精度過低以及用戶對誤警概念的拓展。
　　2.產品適應能力低
　　傳統的IDS產品在開發時沒有考慮特定網絡環境的需求，千篇一律。網絡技術在發展，網絡設備變得復雜化、多樣化，這就需要入侵檢測產品能動態調整，以適應不同環境的需求。
　　3.大型網絡的管理問題
　　很多企業規模在不斷擴大，對IDS產品的部署從單點發展到跨區域全球部署，這就將公司對產品管理的問題提上日程。首先，要確保新的產品體系結構能夠支持數以百計的IDS傳感器;其次，要能夠處理傳感器產生的告警事件;此外，還要解決攻擊特征庫的建立，配置以及更新問題。
　　4.缺少防御功能
　　檢測，作為一種被動且功能有限的技術，缺乏主動防御功能。因此，需要在下一代IDS產品中嵌入防御功能，才能變被動為主動。
　　5.評價IDS產品沒有統一標準
　對入侵檢測系統的評價目前還沒有客觀的標準，標準的不統一使得入侵檢測系統之間不易互聯。隨著技術的發展和對新攻擊識別的增加，入侵檢測系統需要不斷升級才能保證網絡的安全性。
　　6.處理速度上的瓶頸
　　隨著高速網絡技術如ATM、千兆以太網等的相繼出現，如何實現高速網絡下的實時入侵檢測是急需解決的問題。目前的百兆、千兆IDS產品的性能指標與實際要求還存在很大的差距。
　　二、下一代IDS系統采用的技術
　　為了降低誤警率、合理部署多級傳感器、有效控制跨區域的傳感器，下一代入侵檢測產品需要包含以下關鍵技術。
　1.智能關聯
　　智能關聯是將企業相關系統的信息(如主機特征信息)與網絡IDS檢測結構相融合，從而減少誤警。如系統的脆弱性信息需要包括特定的操作系統(OS)以及主機上運行的服務。當IDS使用智能關聯時，它可以參考目標主機上存在的、與脆弱性相關的所有告警信息。如果目標主機不存在某個攻擊可以利用的漏洞，IDS將抑制告警的產生。
　　智能關聯包括主動關聯和被動關聯。主動關聯是通過掃描確定主機漏洞;被動關聯是借助操作系統的指紋識別技術，即通過分析IP、TCP報頭信息識別主機上的操作系統。下面將詳細介紹指紋識別技術。
　　(1)IDS有時會出現誤報(主機系統本身并不存在某種漏洞，而IDS報告系統存在該漏洞)
這種現象的原因是當IDS檢測系統是否受到基于某種漏洞的攻擊時，沒有考慮主機的脆弱性信息。以針對Windows操作系統的RPC攻擊為例，當網絡中存在RPC攻擊時，即使該網絡中只有基于Linux的機器，IDS也會產生告警，這就是一種誤報現象。為了解決這個問題，需要給IDS提供一種基于主機信息的報警機制。因此新一代IDS產品利用被動指紋識別技術構造一個主機信息庫，該技術通過對TCP、IP報頭中相關字段進行識別來確定操作系統(OS)類型。
　　(2)被動指紋識別技術的工作原理
　　被動指紋識別技術的實質是匹配分析法。匹配雙方一個是來自源主機數據流中的TCP、IP報頭信息，另一個是特征數據庫中的目標主機信息，通過將兩者做匹配來識別源主機發送的數據流中是否含有惡意信息。通常比較的報頭信息包括窗口大小(Windowsize)、數據報存活期(TTL)、DF(don tfragment)標志以及數據報長(Totallength)。
　　窗口大小(wsize)指輸入數據緩沖區大小，它在TCP會話的初始階段由OS設定。多數UNIX操作系統在TCP會話期間不改變它的值，而在Windows操作系統中有可能改變。
　　數據報存活期指數據報在被丟棄前經過的跳數(hop);不同的TTL值代表不同的OS，TTL=64，OS=UNIX;TTL=12，OS=Windows。DF字段通常設為默認值，而OpenBSD不對它進行設置。
　　數據報長是IP報頭和負載(Payload)長度之和。在SYN和SYNACK數據報中，不同的數據報長代表不同的操作系統，60代表Linux、44代表Solaris、48代表Windows2000。
　　IDS將上述參數合理組合作為主機特征庫中的特征(稱為指紋)來識別不同的操作系統。如TTL=64，初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區分是Linux還是OpenBSD。因此，(TTL，wsize)就可以作為特征庫中的一個特征信息。
　　(3)被動指紋識別技術工作流程
　　具有指紋識別技術的IDS系統通過收集目標主機信息，判斷主機是否易受到某種漏洞的攻擊，從而降低誤報率。它的工作流程如圖1所示。
　　指紋識別引擎檢查SYN報頭，提取特定標識符;
　　從特征庫中提取目標主機上的操作系統信息;
　　更新主機信息表;
　　傳感器檢測到帶有惡意信息的數據報，在發出警告前先與主機信息表中的內容進行比較;
　　傳感器發現該惡意數據報是針對Windows服務器的，而目標主機是Linux服務器，所以IDS將抑制該告警的產生。