[转]基于网络和主机的入侵检测比较,各自优缺点
(2011-10-18 00:11:05)
标签:
it
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意
图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两
种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以
提供更加有效的入侵检测和保护措施。
技术概述
基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配频率或穿越阀值低级事件的相关性统计学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
基于主机的入侵检测
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录
是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前
的攻击形式