目前,在安全市场上,最普遍的两种***检测产品是基于网络的网络***检测系统(NIDS)和基于主机的主机***检测系统(HIDS)。那么,NIDS与HIDS到底区别在哪里?用户在运用时该如何 选择呢?  
先来回顾一下IDS的解释:所谓***检测,就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其执行分析,从中发觉网络或系统中能不能有违反安全策略的行为和遭到袭击的迹象,并对此做出适当反应的流程。而***检测系统则是实现这些功能的系统。
这个解释是ICSA***检测系统论坛给出的。不难看出,IDS应该是包含了收集信息、分析信息、给出结论、做出反应四个流程。在IDS发展初期,想要全部实现这些功能在技能上是很难办到的,所以大家都从不同的出发点,开发了不同的IDS。一般情况下,我们都按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS,这也是目前运用最普遍的两种IDS,尤以NIDS运用 最为广泛。大部分IDS都采用“信息收集系统-分析控制系统”结构,即由安装在被监控信息源的探头(或代理)来收集有关的信息,然后按照一定形式传输给分析机,经过对有关信息的分析,按照事先设定的准则、策略等给出反应。