入侵检测系统（ intrusion detection system :IDS）

一个基於主机的IDS可以监视并通过安装加密的网络通信中分析活性剂在端点上。一个基於网络的IDS，依靠传感器被动嗅探流量，因为加密的活动通常是保护不能够做到端到端的。

NIST SP 800-94引入了四个IDS部署参考模型：
. 基於主机
. 基於网络
. 网络行为分析（NBA）
. 无线的

基於网络的IDS可以在线或被动（通过网络窃听或嗅探）在防火墙之前进行加固和部署。但是，更常见的是将其部署在更安全的环境中的防火墙後面。
具有网络行为分析（NBA）功能的（基於网络的）IDS监视通过网关的流量以及通过交换机集线器跨内部网络的流量。

-基於被动网络的IDPS传感器架构示例（来源：NIST SP 800-94）

资料来源： Wentz Wu QOTD-20210317