基于主机的入侵检测优缺点_[转]基于网络和主机的入侵检测比较,各自优缺点...

最新推荐文章于 2023-08-24 18:50:37 发布
最新推荐文章于 2023-08-24 18:50:37 发布
阅读量4.2k 收藏 3
点赞数 3
文章标签: 基于主机的入侵检测优缺点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39756235/article/details/111766534
版权
本文探讨了基于网络和基于主机的入侵检测系统的特点,指出两者各有优势。基于网络的IDS能实时检测攻击,成本较低,而基于主机的IDS能更准确判断攻击成功与否,监测特定系统活动。理想的入侵检测应结合两者,以提供全面的防护。
摘要由CSDN通过智能技术生成

[转]基于网络和主机的入侵检测比较,各自优缺点

(2011-10-18 00:11:05)

标签:

it

大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意

图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两

种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以

提供更加有效的入侵检测和保护措施。

技术概述

基于网络的入侵检测

基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。

它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配频率或穿越阀值低级事件的相关性统计学意义上的非常规现象检测

一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。

基于主机的入侵检测

基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录

是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前

的攻击形式

最低0.47元/天 解锁文章
weixin_39756235
关注
基于主机入侵检测技术
LISTONE的个人博客
06-01 2481
基于主机入侵检测技术 审计数据的获取 审计数据的预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 审计数据的获取 数据获取划分为直接监测和间接监测两种方法。 (1)直接监测——直接监测从数据产生或从属的对象直接获得数据。例如,为了直接监测主机CPU的负荷,必须直接从主机相应内核的结构获得数据。要监测ietd进程提供的网络访问服务,必须直接从 inetd进程获得关于那些访问的数据; (
过程控制与自动化仪表_自动化仪表控制系统管理制度和维修制度
weixin_39637614的博客
12-05 404
自动化仪表控制系统管理制度第一条 为加强公司自动化仪表设备及控制系统的管理工作,控制和优化工艺条件,保障仪表设备安全经济运行,依据国家有关法规及相关管理规定,制定本制度。第二条 本制度适用于本公司自动化仪表控制系统的管理。 第三条 控制系统主要包括集散控制系统(DCS)、紧急停车系统 (ESD)、可编程控制器(PLC)等。第四条 控制系统的日常维护。(一)系统点检制度1、仪表部系统负责人员应加强对...
基于主机的***检测tripwire
weixin_34268579的博客
09-27 152
简介 tripwire是一个基于主机的***检测系统,主要手段是在系统初始化后生成一个指纹库,通过定期检查校验文件,如果发生变化,则会触发邮件报警。 tripwire 运行方式并不是服务,而是crontab脚本,详见/etc/cron.daliy/tripwire-check,默认每天运行一次。   安装tripwire 安装tripwire十分容易,它已经包含在了EPEL仓库...
基于主机网络入侵检测系统
03-06
利用WINPCAP,MFC,实现了一个网络入侵检测系统。 基于主机网络入侵检测系统可以部署在装有Windows操作系统的主机上,并有效执行预定的网络监测以识别可能的网络入侵。系统提供了针对FTP协议入侵的扫描策略,同时允许用户添加自定义扫描策略。
基于主机入侵检测系统
weixin_30300523的博客
07-15 686
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。 1.1操作系统的审计 审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以...
论文研究-基于WMI技术的无代理主机入侵检测系统模型设计.pdf
07-22
Windows管理设备(WMI)是微软操作系统的一个组成部分,它是微软的...研究并建立了一个基于WMI技术的无代理主机入侵检测系统,很好地克服了传统的基于主机入侵检测系统在部署和管理方面存在的高成本、低效率的缺点
基于网络入侵检测系统的技术改进.pdf
07-12
#### 基于网络入侵检测系统优缺点 ##### 优点 - **不影响被保护对象**:NIDS采用被动监听方式,独立于被保护的主机系统,不会增加额外负载。 - **平台无关性**:无需为不同操作系统开发特定版本。 - **检测低层...
LIDS:一种基于Linux内核的入侵检测系统.pdf
09-07
IDS可以分为两类:基于主机的IDS和基于网络的IDS。基于主机的IDS主要用于保护运行关键应用的服务器,对主机的审计记录和日志文件进行监视和分析,以检测入侵行为。基于网络的IDS主要用于实时监控网络关键路径的信息...
基于数据挖掘算法的入侵检测综述.pdf
07-14
入侵检测方面,数据挖掘技术主要可以分为两类:基于特征的检测方法和基于异常的检测方法。 特征检测方法依赖于已知的攻击特征,这种类型的方法往往称为误用检测(Misuse Detection)。它通过在数据中查找与已知...
IDS的弱点和局限
08-22 601
IDS的弱点和局限创建时间:2002-06-24文章属性:原创文章来源:www.cnsafe.net文章提交:mayi (mayi99_at_263.net)1    NIDS的弱点和局限NIDS通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。1.1    网络局限1.1.1    交换网络环境    由于共享式HUB可以进行网络监听,将给网络安全带来极大的威胁,故而现在
基于存储的入侵检测技术
LISTONE的个人博客
06-11 501
基于存储的入侵检测技术 数据采集 数据特征分析 时间戳:精确显示每次打开、读取、写入或删除的时间; 进程名称:存储操作动作的发出者; 操作请求:包括 Fast I/O操作请求和IRP操作请求; 被操作的文件路径:存储操作响应的接受者; 操作结果状态:显示操作的最终结果; 具体读写信息:提供了与读写相关的数据长度和偏移量等。 数据预处理和规约 未处理的存储操作数据存在以下问题: (1)某些正常和异常数据具有相同的取值特征,对于区分攻击类型起不到直接的作用; (2)某些数据属性的表达方式不适合直接输入算法
网络安全之入侵检测系统
VN520的博客
04-13 7679
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统(IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
攻击网站和攻击服务器的区别,DDoS攻击与CC攻击的区别是什么?
weixin_34569101的博客
08-12 462
随着互联网的兴起,各种网络攻击也随之日益频繁,各种恶意网络攻击给许多企业带来口碑、以及财务的巨大损失。近几年,最常见的网络攻击手段主要是DDoS攻击与CC攻击。因此,企业一定要做好网络安全攻略,防御DDoS攻击与CC攻击。那么,DDoS攻击和CC攻击到底是什么?这两者有什么区别呢?DDoS攻击DDoS攻击(分布式拒绝服务攻击)一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规...
[网络工程师]-防火墙-入侵检测系统IDS
m0_58983558的博客
10-23 2483
讲述了防火墙的IDS功能原理和模块结构,并介绍了IDS的分类和主要检测方法。
网络与信息安全学习(八)
zhouzhuo_CSUFT的博客
01-18 3746
1、入侵检测的定义 入侵检测(Intrusion Detection)是对入侵行为的发觉,通过在计算机网络系统若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测是继防火墙之后保护网络系统的第二道防线,属于主动安全防御技术,它能对入侵事件和入侵过程实时响应,入侵检测是防火墙的合理补充。 入侵检测扩展了...
13款入侵检测系统介绍(HIDS)
神棍之路
03-07 8187
入侵检测系统IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可获得标题。被动IDS将记录入侵事件并生成警报以引起操作员的注意。被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。
6.1基于主机入侵检测系统
黑白程序的博客
11-09 2978
基于主机入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。如果一个网络数据包已经到达它要试图进入的主机,要想准确地检测出来并进行阻止,除防火墙和网络监视器外,还可用第三道防线来阻止,即“基于主机入侵检测”,其入侵检测结构如右图所示。 2种基于主机入侵检测类型如下。 基于主机入侵检测结构 ·网络监视器。它监视进来的主机网络连接,并试图判断这些连接是否是
信息安全:入侵检测技术原理与应用.(IDS)
最新发布
网络安全领域___专研者.
08-24 2396
入侵检测网络安全态势感知的关键核心技术,支撑构建网络信息安全保障体系。入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称为 IDS。
入侵检测系统详解:密罐技术优缺点与类型分析
1990年,加州大学开发的NSM标志着IDS的一个重要折点,因为它引入了网络流量作为审计数据,从而区分了基于网络的IDS和基于主机的IDS。 IDS主要有三种类型:基于主机的HIDS、基于网络的NIDS和分布式DIDS。HIDS专注...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值