一般来说入侵检测系统由3部分组成,分别是事件产生器,事件分析器和响应单元,通常,这3部分分别运行在3台独立的主机上,对于IDS而方,事件产生器所在的位置是十分重要的,因为它决定了事件的可见度.
   对于主机型IDS,其事件产生器位于其所监测的主机上.
   对于网络型IDS,其事件产生器的位置有多种可能,如果网段用总线式的集线哭喊 相连,则可将其简单地接在集线器的一个端口上,对于交换式以太网交换机,问题则会变得复杂.由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法则不再可行,解决的办法有:
1.交换机的核心芯片上一般有一个用于高度的端口,任何其他商品的进出信息都可从此得到,如果交换厂商把此端口开放出来,用户可将IDS系统接到此端口上,这种方法的优点是无须改变IDS体系结构,缺点是采用此端口会降低交换机性能.
2.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键出入口,这种方法的优点是可以得到几乎所有的关键数据,缺点是必须与其他厂商紧密合作,并且会降低网络性能.
3.采用分接器,将其接在所有要监测的线路上,这种方法的优点是在不降低网络性能的前提下收集了所需要的信息,缺点是必须购买额外的设备.

浏览:次