1、入侵检测系统的工作流程

　　信息收集、数据分析、实时记录、报警或者反击

　　1、信息收集：包括网络流量的内容、用户连接活动的状态和行为。信息主要来自于系统日志、目录及文件中的异常改变、程序执行中的异常行为、物理形式的入侵信息。

　　2、数据分析：主要是用于实时检测的模式匹配、统计分析、智能化入侵检测和用于事后分析的完整性分析。

　　2、入侵检测系统一般部署结构

　　由控制台和控制器组成

　　IDS应当挂接在所有流量都必须流经的链路上，在这里所流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源、尽可能靠近受保护资源，这些位置通常在：服务器区域的交换机上、Internet接入路由器之后的第一台交换机、重点保护网段的局域网交换机上。