一個基於主機的IDS可以監視並通過安裝加密的網絡通信中分析活性劑在端點上。一個基於網絡的IDS,依靠傳感器被動嗅探流量,因為加密的活動通常是保護不能夠做到端到端的。
NIST SP 800-94引入了四個IDS部署參考模型:
. 基於主機
. 基於網絡
. 網絡行為分析(NBA)
. 無線的
基於網絡的IDS可以在線或被動(通過網絡竊聽或嗅探)在防火牆之前進行加固和部署。但是,更常見的是將其部署在更安全的環境中的防火牆後面。
具有網絡行為分析(NBA)功能的(基於網絡的)IDS監視通過網關的流量以及通過交換機集線器跨內部網絡的流量。
-基於被動網絡的IDPS傳感器架構示例(來源:NIST SP 800-94)
資料來源: Wentz Wu QOTD-20210317
