IDS有哪两类分析方法？

1. 异常检测

假定所有入侵行为都是与正常行为不同的，如果建立系统正常行为的轨迹(特征文件Profiles)，那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量，来识别入侵企图，即把所有与正常轨迹不同的系统状态视为可疑企图。

例如，一个程序员的正常活动与一个打字员的正常活动肯定不同，打字员常用的是编辑/打印文件等命令;而程序员则更多地使用编辑/编译/调试/运行等命令。

这样，根据各自不同的正常活动建立起来的特征文件，便具有用户特性。入侵者使用正常用户的账号，但其行为并不会与正常用户的行为相吻合，从而可以被检测出来。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。

异常检测指根据使用者的行为或资源使用状况来判断是否入侵，所以也被称为基于行为(Behave—based)的检测。

2. 误用探测(基于知识(Knowledge—based)检测)

假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。

误用检测系统的关键问题是如何从已知入侵中提取和编写特征，使得其能够覆盖该入侵的所有可能的变种，而同时不会匹配到非入侵活动(把真正入侵与正常行为区分开来)。