计算机网络中存在可以被攻击者利用的安全弱点、 漏洞及不安全的配置， 主要表现在操作系统漏洞、 TCP/IP 协议设计缺陷、 应用程序(如数据库、 浏览器等) 漏洞、 网络设备自身安全等方面。 另外， 由于大部分网络缺少预警防护机制， 即使攻击者已经侵入内部网络，甚至侵入关键的主机， 并从事非法操作， 网络管理人员也很难察觉。 这样， 攻击者就有足够的时间来破坏计算机网络系统。

那么， 如何防止和避免网络系统遭受攻击和入侵呢? 首先， 要找出网络中存在的安全弱点、 漏洞和不安全的配置； 然后， 采取相应措施堵塞这些弱点、 漏洞， 对不安全的配置进行修正， 最大限度地避免遭受攻击和入侵； 同时， 对网络活动进行实时监测， 一旦监测到攻击行为或违规操作， 能够及时做出反应， 包括记录日志、 报警甚至阻挡非法连接。

入侵检测系统(Intrusion Detection System， IDS) 的出现， 解决了以上问题。 在计算机网络中， 通过硬件防火墙可以阻挡网络中一般性的攻击行为； 采用入侵检测系统， 则可以对越过防火墙的攻击行为以及来自网络内部的操作进行监测和响应。

1. 入侵行为

“入侵” 是一个广义的概念， 不仅包括被发起攻击的人(如恶意的黑客) 取得超出合法范围的系统控制权， 还包括收集漏洞信息、 拒绝服务等对计算机系统造成危害的行为。 入侵行为主要指对系统资源的非授权使用， 它可以造成系统数据的丢失和破坏， 甚至造成系统拒绝对合法用户服务等后果。(www.daowen.com)

2. 入侵检测

入侵检测， 顾名思义， 便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测技术是一种网络信息安全新技术， 可以弥补防火墙的不足， 对网络进行监测， 从而提供对内部攻击、 外部攻击和误操作的实时检测， 并采取相应的防护手段， 如记录证据用于跟踪、 恢复、 断开网络连接等。 入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。

3. 入侵检测系统

入侵检测系统从计算机网络系统中的若干关键点收集信息， 并分析这些信息， 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 将入侵检测的软件与硬件进行组合便是入侵检测系统。 入侵检测系统需要更多智能， 必须可以对得到的数据进行分析， 并得出有用的结果。 一个合格的入侵检测系统能大大简化管理员的工作， 保证网络安全的运行。 不同于防火墙， 入侵检测系统其实是一个监听设备， 不能对其监听到的非法攻击进行阻断， 但它可以查看网络内部人员所做的攻击行为， 在攻击发生后， 利用入侵检测系统保存的信息可以进行调查和取证。 它不跨接多个物理网段(通常只有一个监听端口)， 无须转发任何流量， 而只需要在网络上被动地、 无声息地收集它所关心的报文。 因此， 入侵检测系统被认为是防火墙之后的第二道安全闸门。