入侵检测系统(IDS)是网络安全监控的重要工具，是网络“街道”上的巡警，时刻关注着网络的异常行为;网络审计是用户行为的记录，是网络“大楼”内的录像机，记录各种行为的过程，作为将来审核“你”的证据。

　　我们常见的楼宇监控，在保安值班室内有一个大电视墙，工作人员实时在看的，属于IDS类型，监控系统需要人的实时参与，发现异常，及时报警、处理。公共场合内银行的ATM机前有录像系统，属于审计类型的产品，当需要查看是谁在什么时间进行的操作时，调出时的记录，进行取证。

　　从表面上看，两个产品都采用了网络的“摄像”，对网络信息抓取并分析，其实两个产品技术出自“同源”---系统的日志分析，好象一对孪生的兄弟;“龙生九子，各有不同”，后天环境的不同，两个产品功能属性大不相同。

　　一、 “遗传”特性

　　IDS需要对入侵行为及时检测并做出判断;审计需要对用户行为全程记录，两者好象“风牛马不相及”，要说相似，是因为他俩共同的“祖先”，从对主机日志的分析技术发展起来的，随着安全目标的不同，一个注重事件的“关联分析”，一个注重事件的事后重现，虽然后来两者差距越来越大，但其技术与产品还有很多相似点，下面我们总结了几点：

　　1) 产品设计架构

　　IDS与审计产品都是安全分析类产品，采用“并联”在网络上的方式，不影响业务的性能。在产品的设计架构上基本相同，分为控制中心、数据库、控制台、数据收集引擎几个部分，采用分布式的部署方式。

　　2) 信息获取

　　从网络上信息收集方式

　　典型的方式就是网络链路的端口镜像(若是光链路也可以用分光设备)，就是把正常网络的通讯信号(数据)复制一份给镜像设备。图中蓝线是IDS的信息收集，红线是审计的信息收集。多对一的镜像也可以根据产品的部署情况采用单独的数据收集引擎，根据流量采用一对一镜像，或多对一镜像。

　　从主机上信息收集方式

　　在主机上收集信息一般要安装Agent软件，也可以通过Syslog、SNMP等通讯协议从主机中获取。主机IDS技术的早期也是对系统的日志进行分析，后来发展到对主机的进程、状态进行监控;主机的系统操作日志、安全日志，数据库上的操作日志，也同样是审计系统的数据来源。

　　3) 业务识别技术

　　收集到的信息需要进一步处理，从网络镜像来的数据包，首先要还原成通讯协议，定位到具体的通讯连接，也就是我们常说的业务识别技术。IDS与审计的业务识别技术基本是相同的。

　　无论是分析是否为入侵，还是要记录用户的行为过程，识别出用户具体在做什么都是必然的。对于标准协议的识别与匹配相对是容易的，但是很多应用采用了加密，或隐藏在其他的通讯协议中，如P2P等，要识别起来就比较麻烦，在流量管理技术中识别一般采用特征匹配技术，但是应用的特征多，而且变化快，对于IDS设备来说，面对的入侵是未知的，可能是通过各种通讯手段的，所以对特征的识别要求较高一些;而对于审计产品来说，要审计的应用是已知的，系统不提供的服务也没有必要进行审计，所以对特征识别需要简单一些。