既然我认为安全的三大类技术是：结构技术、攻击技术和检测技术。而且，检测技术具有非常突出的地位。那么，持续地认真地思考“检测”就成为一件使命。

　　在这么多年摸爬滚打在检测技术中，归结起来发现，从机制上说（从机制的某一个特性上看），检测机制就有三种（对于第四种还在发现中）。这三种机制就是：

1. 旁路监听
2. 主动扫描
3. 举报和投票

　　当然不光是信息安全方面的检测，其他的检测也同样可以有这三种机制存在。比如，黄色网站的检测，也可以用这三种方式实现。

旁路监听

　　在信息安全领域中，最典型的旁路监听就是ＩＤＳ入侵检测系统。当然，将这种机制泛化开来说，日志系统、审计系统也都是旁路监听的方式。旁路监听就是要在服务者和被服务者之间，或者其他数据交互之间默默地听着。ＩＤＳ听着网络而不影响数据包在网络中流过，日志系统在记录着而不影响业务的正常开展（当然可能会影响性能）。总之，旁路监听就是旁路的，不是以访问控制的形式出现，不以关／闸的方式存在。

　　如果将旁路监听功能强行嵌入到网关中，就相当于强制流量必须通过我规定的旁路监听功能。比如，防火墙、ＩＰＳ、ＵＴＭ等就都是这个样子。所以，把网关检测和旁路监听看成一类也可以，看成另类也可。但是，其核心检测技术是非常相似的。所以，ＩＤＳ和ＩＰＳ才如同孪生兄弟，没有ＩＤＳ能力而做出来的ＩＰＳ肯定是不靠谱儿的。

　　旁路监听的能力发展到比较极致的情况，并不是把一个单点的检测做到作强悍，而是将监听建立起来一个“网”。建立起来一个监听网。这个网是否厉害，最重要的指标是这个网的覆盖度和粒度。也就是看看这网有多大，网眼有多密集。所以，我非常看重“监测覆盖度”这类的指标。

主动扫描

　　网络漏洞扫描器是一类非常传统的安全产品，也是主动扫描的代表。主动扫描不同于旁路监听，其主要通过模拟服务请求者、攻击者的行为，查看服务者（服务器）的反应。

　　在当前的爆炸式的网络环境中，要想做好主动扫描，就不得不结合“爬虫”技术了。也就是说，用爬虫技术获得被扫描对象，然后用微观的局部的扫描技术进行个体扫描，再然后将众多扫描结果汇总后，形成一个整体的宏观的爬虫扫描结果。

举报和投票

　　在网络中常常存在一些投票活动，比如：看看到底是姚明是老大还是麦迪是老大。让服务请求者／访问者对一个话题有意无意地发表看法，并对这些看法进行汇总。

　　比如，某webmail提供商的反垃圾邮件能力很强，我相信其一定通过其提供的report spam功能，将全世界众多用户对于垃圾邮件的选择，从而更加准确地识别出垃圾邮件和垃圾邮件源。这其实利用的就是群众们雪亮的眼睛。

　　这种举报和投票机制，对于需要以特征为检测知识库的监测系统特别有效，可以成为提高特征判别准确性的重要支持方法。比如：反垃圾邮件、防病毒、ＩＤＳ、扫描器、防木马、防恶意插件等等。

　　能够更好地用好这三种检测机制，特别是利用好当前网络支持下的三种极致情况“监听网”、“爬虫”、“举报投票”等，能够大大提高整个检测体系的检测能力。