3)入侵檢測系統(tǒng)布署

不同的組網(wǎng)應(yīng)用可能使用不同的規(guī)則配置，所以用戶在部署入侵檢測系統(tǒng)前應(yīng)先明確自己的目標，建議在滿足檢測策略要求的基礎(chǔ)上，根據(jù)目標網(wǎng)絡(luò)拓撲結(jié)構(gòu)，以及便于IDS管理要求等方面著手，選擇適合自己的入侵檢測系統(tǒng)類型，并設(shè)計恰當?shù)牟渴鸱绞健?/p>

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)原理、功能目標不一樣，所以在網(wǎng)絡(luò)中的部署位置也不一樣。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，需要監(jiān)視并獲取運行在網(wǎng)絡(luò)中的原始網(wǎng)絡(luò)包，這通常通過在網(wǎng)絡(luò)關(guān)鍵位置的交換機、路由器等網(wǎng)絡(luò)設(shè)備上設(shè)置鏡像端口來獲得，或通過利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來獲得網(wǎng)絡(luò)數(shù)據(jù)。

對于基于主機的入侵檢測系統(tǒng)來說，其需要將入侵檢測系統(tǒng)的分析引擎和IDS管理終端連入網(wǎng)絡(luò)中，并將其檢測代理（也稱探測頭）安裝到需要檢測的主機中。