入侵偵測系統（Intrusion Detection System，簡稱IDS）是一種網絡安全系統，主要用於監控網絡或系統中的異常活動或可疑行為。其核心目的是在不正常或有害的行為發生時，能夠及時警告或阻擋，從而提供一個更安全的網絡環境。

主要類型：

1. 主機型（HIDS）：主機型入侵偵測系統是安裝在單一主機上，用於監控該主機內的系統呼叫、文件系統變更等。
2. 網絡型（NIDS）：網絡型入侵偵測系統則是部署在網絡節點（例如路由器或防火牆後方）上，專門用於監控進出特定網絡段的數據流。

工作原理：

• 異常偵測：這種方式基於行為分析，建立一個基線來描述「正常」行為，然後識別與這個基線有顯著差異的行為。
• 特徵偵測：這種方式使用預先定義特徵（signature）來識別已知攻擊的模式。
• 規則偵測：這種方式預先定義規則來識別

優點與缺點：

• 優點：
  • 可以實時或近實時地監控網絡活動。
  • 可以與其他安全措施（例如防火牆、反病毒軟體等）配合使用。
• 缺點：
  • 可能會產生偽陽性（false positive）或偽陰性（false negative）。
  • 需要專門的人員進行配置和維護。

結論：

入侵偵測系統是網絡安全的重要組成部分，它能夠幫助組織及時發現潛在威脅和攻擊行為，並採取適當的應對措施。然而，要最大限度地發揮其效用，需要對其進行細緻的配置和持續的維護。

在評估入侵偵測系統（IDS）或其他分類模型的性能時，一般會出現四種主要的警報（alert）狀態，即真陽性、真陰性、偽陽性和偽陰性。以下是這四種狀態的詳細介紹：

1. 真陽性（True Positive, TP）

真陽性是指系統成功地識別出一個實際存在的威脅或異常行為。這意味著警報是正確的，並且對應到一個真正的安全問題。例如，如果IDS發出了一個針對未經授權訪問的警報，並且該訪問確實是一個未經授權的攻擊，那麼這就是一個真陽性的例子。

2. 真陰性（True Negative, TN）

真陰性是指系統成功地識別出一個實際不存在的威脅或異常行為。也就是說，沒有發出警報，並且這個判斷是正確的。如果一個正常的網絡訪問未觸發任何警報，並且該訪問實際上是合法的，這便是真陰性的例子。

3. 偽陽性（False Positive, FP）

偽陽性是指系統錯誤地識別出一個實際不存在的威脅或異常行為。這通常會導致不必要的警報和後續調查，浪費資源和時間。例如，如果IDS對一個合法的網絡訪問發出了未經授權的訪問警報，這便是偽陽性。

4. 偽陰性（False Negative, FN）

偽陰性是指系統未能識別出一個實際存在的威脅或異常行為。這是一個嚴重的問題，因為它意味著真正的威脅或攻擊未能得到檢測和阻止。例如，如果一個未經授權的網絡訪問未能觸發警報，這便是一個偽陰性的情況。

這四種狀態是評價IDS或其他安全監控系統效能的基礎，通常會用於計算各種性能指標，如精確度、召回率、F1分數等。了解這些基本概念對於正確解讀和應用安全警報是非常重要的。

入侵防禦系統（Intrusion Prevention System，簡稱IPS）是一種網絡安全技術，不僅能偵測網絡中的不正常或可疑行為，還具有阻擋或減緩這些活動的能力。簡言之，IPS 是 IDS（入侵偵測系統）的一個進階版，除了識別外，還能採取主動措施以防止潛在的安全事件。

主要功能：

1. 數據包過濾：IPS 會實時分析網絡流量，並根據預設的規則或特徵（signature）來過濾或阻止可疑的數據包。
2. 行為分析：部分 IPS 也會使用異常偵測技術來學習「正常」網絡行為的模式，然後識別和阻止與這些模式不符的行為。
3. 攻擊阻擋：在識別到威脅後，IPS 可以採取一系列的應對措施，例如切斷與惡意來源的連接、重新配置網絡設備，或者通過更新防火牆規則來阻擋進一步的不正常活動。

部署方式：

1. 網絡型（NIPS）：這種IPS 直接接入到網絡基礎設施中，通常位於防火牆後面，用於監控所有進出網絡的數據。
2. 主機型（HIPS）：這種IPS 是安裝在特定主機上，專門用於保護該主機。

優點與缺點：

• 優點：
  • 可以實時阻擋威脅，提供更主動的保護。
  • 可與其他安全裝置（例如 IDS、防火牆等）協同工作。
• 缺點：
  • 錯誤地阻擋合法流量（偽陽性）可能會對業務造成干擾。
  • 需要專業的配置和維護，以避免性能下降或不正確的警報。

總之，IPS 是一個重要的網絡安全工具，適合用於需要即時、主動防護的環境。然而，要充分發揮其效用，需要有專門人員負責其配置和維護。