A.5 架構

在不同的架構中， IDPS可通過不同方式來實現。

在具有小規模網絡的組織中， 通常選擇單個IDPS來滿足入侵檢測和防御的要求， 以保護相關系統。

為了能有效檢測攻擊(攻擊可針對子系統或組件，也可針對子系統或組件的配置，而非子系統或組件本身的脆弱性) ， 需要關聯和分析來自不同IDPS的事態數據。

– 多個IDPS相互連接和關聯的方式；

– 架構中任務的集中或分發。

分層入侵檢測和防御架構的示例如圖A.2所示。

在圖A.2中，將低層級的分析和關聯組件的輸出匯總后，輸入更高層級的組件中進行更高層級的分析和關聯。參考其他多層應用程序基礎設施，可在多個位置執行所需的相關功能。

與分層架構不同，集中式架構將收集的原始數據發送到單個組件進行分析和關聯。此方法設計簡單，但可擴展性差，只適用于小規模網絡中。

更多可擴展的架構如下：盡早減少原始數據， 在分散的組件中執行某些IDPS任務后， 將相關事態傳輸到下一層組件，形成組件鏈，以此類推，最終僅將相關事態或報警傳遞到核心部件。此類架構中間將涉及一些非常復雜的任務(例如，此類可擴展架構就需要配置過濾器以及相關的分析和關聯組件，并通過攻擊指示找到到達核心部件的方法，從而發出報警)。