3)入侵检测系统布署
不同的组网应用可能使用不同的规则配置,所以用户在部署入侵检测系统前应先明确自己的目标,建议在满足检测策略要求的基础上,根据目标网络拓扑结构,以及便于IDS管理要求等方面着手,选择适合自己的入侵检测系统类型,并设计恰当的部署方式。
基于网络的入侵检测系统和基于主机的入侵检测系统原理、功能目标不一样,所以在网络中的部署位置也不一样。基于网络的入侵检测系统使用网络数据包作为数据源,需要监视并获取运行在网络中的原始网络包,这通常通过在网络关键位置的交换机、路由器等网络设备上设置镜像端口来获得,或通过利用一个运行在混杂模式下的网络适配器来获得网络数据。
对于基于主机的入侵检测系统来说,其需要将入侵检测系统的分析引擎和IDS管理终端连入网络中,并将其检测代理(也称探测头)安装到需要检测的主机中。