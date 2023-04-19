IDS 根据其在系统中的位置和监控的活动类型进行分类。

网络入侵检测系统 (NIDS) 会监控网络上设备的入站和出站流量。NIDS 部署在网络的战略要地，通常位于网络边界防火墙的正后方，以便能够标记任何突破的恶意流量。

NIDS 也可能部署在网络内部，以捕获内部威胁或劫持用户帐户的黑客。例如，NIDS 可能部署在分段网络中的每个内部防火墙后面，以监视子网之间的流量流动。

为了避免妨碍合法流量的流动，NIDS 通常被放置在“带外”，这意味着流量不会直接通过它。NIDS 分析网络数据包的副本，而不是数据包本身。这样一来，合法流量就不必等待分析，但 NIDS 仍然可以捕获并标记恶意流量。

主机入侵检测系统 (HIDS) 安装在特定端点上，例如笔记本电脑、路由器或服务器。HIDS 只监控该设备上的活动，包括进出该设备的流量。HIDS 的工作原理通常是定期拍摄关键操作系统文件的快照，并且随着时间推移将这些快照进行比较。如果 HIDS 发现更改，例如日志文件被编辑或配置被更改，它会向安全团队发出警报。

安全团队通常将基于网络的入侵检测系统和基于主机的入侵检测系统结合起来。NIDS 着眼于整体流量，而 HIDS 可以为高价值资产添加额外的保护。HIDS 还可以帮助捕获来自被感染网络节点的恶意活动，例如从被感染设备传播的勒索软件。

虽然 NIDS 和 HIDS 是最常见的，但安全团队会出于特殊目的使用其他 IDS。基于协议的 IDS (PIDS) 会监视服务器和设备之间的连接协议。PIDS 通常放置在 Web 服务器上，用于监视 HTTP 或 HTTPS 连接。

基于应用程序协议的 IDS (APIDS) 在应用程序层工作，监视特定于应用程序的协议。APIDS 通常部署在 Web 服务器和 SQL 数据库之间以检测 SQL 注入。