入侵检测接交换机哪个端口

如果是入侵检测硬件设备是可以随便接入交换机中，没有规定必须接在那个端口上，如果是软件版本的入侵检测一般安装在主机也就是用户计算机上，主机入侵检测系统的检测目标主要是主机系统和本地用户。检测原理是在每个需要保护的端系统(主机)上运行代理程序(agent)。

入侵检测过程如下：

1. 信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

2. 信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过 3 种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，会产生一个告警并发送给控制台。

3. 结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。