WAF（webapplicationfirewall ）的呈现是由于传统防火墙无法对应据，在知识库

  中保存植入数据的模型。数据分析一般通过形式相配、计算分析和完好性分析 3 种手法进行。前两种办法用于及时侵略检测，而完好性分析则用于往后分析。

  可用 5 种计算模型进行数据分析：操作模型、方差、多元模型、马尔柯夫进程模型、时刻序列分析。计算分析的最大长处是可以学惯用户的运用****惯。

  侵略检测体系在发现侵略后会及时做出呼应，包括堵截网络连接、记载事情和报警等。呼应大体上分为主动呼应（阻挠进犯或影响然后改动进犯的进展）和被迫呼应（陈述和记载所检测出的问题）两种品种。

  主动呼应由用户驱动或体系自己主动实行，可对侵略者采用举动（如断开连接）、批改体系环境或收集实用信息；被迫呼应则包括告警和告诉、简略网络办理协议（ SNMP）骗局和插件等。此外，还可以够按战略装备呼应，可别离采用马上、急迫、合时、当地的持久和大局的持久等举动。坏处

  侵略防备体系（ IntrusionPreventionSystem， IPS），又称为侵略侦测与防备体系（ intrusiondetectionandpreventionsystems ，IDPS），是计算机网络安全设备，是对防病毒软件（ AntivirusSoftwares）和防火墙的补充。侵略防备体系是一部可以监督网络或网络设备的网络数据传输行为的计算机网络安全设备，可以即时的间断、调整或阻隔一些不正常或是具有危害性的网络数据传输行为。

  当然防火墙可根据英特网地址（ IP-Addresses）或服务端口（ Ports）过滤数据包。但是，它关于运用合法网址和端口而从事的损坏活动则力所不及。由于，防火墙很少深化数据包查看内容。

  ISO/OSI网络层次模型（见 OSI模型）中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很细微。而除病毒软件主要在第五到第七层起作用。为了填充防火墙和除病毒软件两者在第四到第五层之间留下的空

  早年先期起作用。随后应运而生的侵略反应体系（ IRS:Intrusion Response

  Systems）作为对侵略侦查体系的补充可以在发现侵略时，快速做出反应，并自

  动采用阻挠行动。而侵略防备体系则作为两者的逐渐开展，吸取了两者的长处。

  侵略防备体系特意深化网络数据内部，查找它所知道的进犯代码特征，过滤有害数据流，丢掉有害数据包，并进行记载，以便往后分析。除此以外，更重要的是，大八成侵略防备体系一起联合考虑运用程序或网络传输层的异常情况，来辅佐区分侵略和进犯。比如，用户或用户程序违犯安全法令、数据包在不应当呈现的时段呈现、操作体系或运用程序矮处的空子正在被运用等等现象。侵略防备体系当然也考虑已知病毒特征，但是它其实不只是依托于已知病毒特征。

  运用侵略防备体系的意图是及时区分进犯程序或有害代码及其克隆和变种，采用防备行动，先期阻挠侵略，防患于已然。或许最少使其危害性足够下降。侵略防备系共同般作为防火墙和防病毒软件的补充来投入到正常的运用中。在必需

  异常侦查。正如侵略侦查体系，侵略防备体系知道正常数据及数据之间联系的平常的姿态，可以比较区分异常。