通过连接在网络上的站点对报文进行捕获,并根据网络流量、协议分析等数据来判断入侵是否发生。
NSM、DIDS、Snort、Bro、EMERALD和GrIDS等。
实时响应,操作代价低,安装使用简单方便。
对加密通讯的检测分析能力不强、易受到拒绝服务攻击。
