4. 7. 3 入侵检测系统的分类
现有入侵检测系统的分类, 大都基于信息源和分析方法进行分类。
1. 按信息源分类
信息源是入侵检测信息收集的来源, 这些来源成为了入侵检测的对象, 可以分为基于主
机型和基于网络型两大类, 也包括基于主机和基于网络的混合模式的入侵检测系统。
(1) 基于主机的入侵检测系统 ( HIDS)
基于主机的 HIDS 通常是被安装在被重点检测的主机上, 往往以系统日志、 应用程序日
志、 Windows NT 下的安全记录以及 Unix 环境下的系统记录等作为数据源, 也可以通过其他
手段 ( 如监督系统调用) 从所在的主机收集信息进行分析。 当发现系统中文件被修改时,
HIDS 将新的记录条目与已知的攻击特征相比较, 看它们是否匹配。 如果匹配, 就会向系统
管理员报警或者做出适当的响应。
● 优点: 监视所有系统的行为; 系统误报率低, 检测数据流简单, 系统简单; 适应交换
和加密; 不需要额外硬件。 对分析 “ 可能的攻击行为” 非常有用。 举例来说, 有时候它除
了指出入侵者试图执行一些 “ 危险的命令” 之外, 还能分辨出入侵者干了什么事: 他们运
行了什么程序、 打开了哪些文件、 执行了哪些系统调用。
● 缺点: 看不到网络活动状况; 运行审计功能需要占用系统资源; 对入侵行为的分析的
工作量将随着主机数目增加而增加。 主机入侵检测系