入侵检测体系结构(主机入侵检测、网络入侵检测和分布式入侵检测的特点、优缺点)
●主机入侵检测(HIDS)
特点:对针对主机或服务器系统的入侵行为进行检测和响应。
主要优点:性价比高;更加细腻;误报率较低;适用于加密和交换的环境;对网络流量不敏感;确定攻击是否成功。
局限性:①它依赖于主机固有的日志与监视能力,而主机审计信息存在弱点:易受攻击,入侵者可设法逃避审计;
②IDS的运行或多或少影响主机的性能;
③HIDS只能对主机的特定用户、应用程序执行动作和日志进行检测,所能检测到的攻击类型受到限制;
④全面部署HIDS代价较大。
●网络入侵检测(NIDS)
项目 HIDS NIDS
误报 少 一定量
漏报 与技术水平相关 与数据处理能力有关(不可避免)
系统部署与维护 与网络拓扑无关 与网络拓扑相关
检测规则 少量 大量
检测特征 事件与信号分析 特征代码分析
安全策略 基本安全策略(点策略) 运行安全策略(线策略)
安全局限 到达主机的所有事件 传输中的非加密、非保密信息
安全隐患 违规事件 攻击方法或手段
特点:利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务。
主要优点:隐蔽性好;实时检测和响应;攻击者不易转移证据;不影响业务系统;能够检测未成功的攻击企图.
局限性:①只检测直接连接网段的通信,不能检测在不同网段的网络包;
②交换以太网环境中会出现检测范围局限;
③很难实现一些复杂的、需要大量计算与分析时间的攻击检测;
④处理加密的会话过程比较困难
●分布式入侵检测(DIDS)
一般由多个协同工作的部件组成,分布在网络的各个部分,完成相应的功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、对入侵行为进行响应。