数据采集：通过部署在网络关键节点（如交换机旁路）或主机上，IDS收集流量日志、系统日志等信息。

分析引擎：

• 签名检测（Signature-based）：基于已知攻击模式的数据库（如恶意IP、特定代码片段）进行匹配。
• 异常检测（Anomaly-based）：建立正常行为基线，偏离基线的活动被视为可疑。

告警生成：检测到异常后生成告警日志，通过邮件、控制台等方式通知管理员。

网络型IDS（NIDS）：监控整个网络的流量（如Snort）。

主机型IDS（HIDS）：安装在单个主机上监控系统日志和文件变化（如OSSEC）。

优点：不影响网络性能，误报率相对较低。

缺点：无法主动阻止攻击，依赖人工响应。

实时检测：与IDS类似，IPS也使用签名检测和异常分析技术。

主动响应：

• 丢弃恶意数据包。
• 阻断攻击源IP的通信。
• 重置连接（如TCP连接重置）。

部署模式：通常以内联（Inline）方式部署在网络边界（如防火墙后方），直接处理流量。

网络型IPS（NIPS）：保护整个网络（如Cisco Firepower）。

主机型IPS（HIPS）：保护单个主机（如Windows Defender防火墙）。

优点：主动防御，减少响应时间。

缺点：可能因误报导致合法流量被阻断，对网络性能有一定影响。

纵深防御：在网络边界部署IPS拦截已知攻击，内部部署IDS检测绕过IPS的隐蔽威胁。

互补优势：

• IPS快速阻断大规模攻击（如DDoS）。
• IDS记录攻击细节，用于事后分析和取证。

企业网络：在防火墙后部署IPS防御外部攻击，核心服务器区部署IDS监测内部横向渗透。

云环境：使用云服务商的IPS保护Web应用，同时通过IDS监控API调用和用户行为。

• 若需实时阻断攻击（如电商支付系统），选择IPS。
• 若需监控和审计（如合规要求），选择IDS。

• IPS需要更高的硬件性能和维护成本。
• IDS适合预算有限或对网络延迟敏感的场景。

• 对误报容忍度低（如医疗系统），可优先使用IDS人工确认。
• 对安全响应速度要求高（如金融交易），需依赖IPS自动拦截。