（一）分布式入侵检测系统

（1）特点

可以跨越多个子网检测攻击行为，特别是大型网络。

（2）产生背景

1. 系统漏洞分散在网络各主机上，可能被攻击者一起用来攻击网络，仅依靠基于主机或网络的IDS不会发现入侵行为
2. 入侵行为不再属于单一行为，而是相互协作
3. 入侵检测所依靠的数据来源分散化，收集原始检测数据变得困难
4. 网络传输速度加快，网络流量增大，集中处理原始数据的方式往往造成检测瓶颈，导致漏检

（3）分类

1. 基于主机检测的分布式入侵检测系统
2. 基于网络的分布式入侵检测系统

（四）基于主机检测的分布式入侵检测系统（HDIDS）

主机探测器以安全代理（Agent）形式安装在每台被保护主机上，通过系统管理控制台进行远程控制

（1）结构

1. 主机探测器
2. 入侵管理控制器

（2）作用：保护关键服务器或其他敏感系统，利用主机系统资源、系统调用、审计日志等信息，判断主机系统运行是否遵循安全规则

（3）优点：集中式控制，便于对系统进行状态监控、管理以及对检测模块软件进行更新

（五）基于网络的分布式入侵检测系统（NDIDS）

（1）产生背景：

1. HDIDS只能保护主机安全，如果网络中需保护的主机系统较多，安装配置工作量就非常大
2. 对于一些复杂攻击，主机探测器无能为力

（2）结构

1. 网络探测器
2. 管理控制器

（3）原理：网络探测器部署在重要网络区域，如服务器所在网段，用于收集网络通信数据和业务数据流，通过采用异常和误用两种方法对收集到的信息进行分析，若出现攻击或异常网络行为，就向管理控制器发送报警信息。

（4）优点：适用于大规模网络或地理区域分散的网络，有利于实现网络分布式安全管理。检测所用到的数据源丰富，克服了基于主机和网络的系统结构的弱点

（5）缺点：分布式结构在传输安全事件过程中增加了通信安全问题处理，安全管理配置复杂度增加等。