第8章 入侵检测系统
151-第8章 入侵检测系统
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
网络安全第八章测试
网络安全第八章1、不属于IDS体系结构的组件是()A、事件产生器B、自我防护单元(正确答案)C、事件分析器D、事件数据库2、下面()不属于误用检测技术的特点A、发现一些未知的入侵行为(正确答案)B、误报率低,准确率高C、对系统依赖性较强D、漏报率高3、入侵检测系统按数据来源可以分为基于()和基于()两种A、主机网络(正确答案)B、主机服务器C、网络服务器D、服务器客户机4、在 IDS 中,将收集到的信息与数据库中已有的记录进行比较,从而发现违背安全策略的行为,这类操作方法称为()A、模式匹配(正确答案)B、统计分析C、完整性分析D、不确定5、以下哪一种方式是入侵检测系统所通常采用的是()。
A、基于网络的入侵检测(正确答案)B、基于IP的入侵检测C、基于服务的入侵检测D、基于域名的入侵检测6、以下哪一项属于基于主机的入侵检测方式的优势:()A、监视整个网段的通信B、不要求在大量的主机上安装和管理软件C、适应交换和加密(正确答案)D、具有更好的实时性7、入侵检测利用的信息包括()A、系统和网络日志文件B、目录和文件中的不期望的改变和程序执行中的不期望的行为C、物理形式的入侵信息D、以上所有信息(正确答案)8、入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段()A、模式匹配B、统计分析C、完整性分析D、密文分析(正确答案)9、以下哪一项不属于入侵检测系统的功能:()A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包(正确答案)10、关于入侵检测技术,下列哪一项描述是错误的()A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流11、按照检测数据的来源可将入侵检测系统(IDS)分为()?A、基于主机的IDS和基于网络的IDS(正确答案)B、基于主机的IDS和基于域控制器的IDSC、基于服务器的IDS和基于域控制器的IDSD、基于浏览器的IDS和基于网络的IDS12、入侵检测系统的第一步是:()A、信号分析B、信息收集(正确答案)C、数据包过滤D、数据包检查13、关于入侵检测技术,下列哪一项描述是错误的是()?A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流14、入侵检测系统(IDS,Intrusion Detection System)是对()的合理补充,帮助系统对付网络攻击。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
网络的攻击与防护概述(PPT)
2. 防火墙的功能
(1) 扫描信息,过滤攻击。 (2) 关闭不需要的端口。 (3) 禁止特定端口的流出通信。 (4) 禁止特殊站点的访问(fǎngwèn)。 (5) 限制特定用户的通信。
第五页,共一百零八页。
3. 防火墙的缺乏 (1) 网络瓶颈。 (2) 不能防范不经过防火墙的信息攻击。 (3) 不能防范病毒的传播。 (4) 不能防范内部人员的攻击。 4.防火墙的特征(tèzhēng) (1) 内部网和外部网之间的所有网络数据流都
第二十页,共一百零八页。
③ Cisco PIX的一般配置步骤(bùzhòu)
连接好PIX 和PC,设置好PC的超级终端,开启PIX。
PIX进入非特权模式,显示 Pixfirewall> 。
输入命令enable,PIX进入特权模式,显示 Pixfirewall# 。
输入命令configure terminal进入配置模式,显示 Pixfirewall(config)#。
③ 缓冲区溢出。
(3) 信息收集型攻击 信息收集型攻击被用来为进一步入侵系统提供
有用的信息。这类攻击主要利用扫描技术和 信息效劳技术进行,其具体实现方式(fāngshì)有 地址扫描、端口扫描、反向映射、DNS域转 换和Finger效劳等。 (4) 虚假信息型攻击 虚假信息型攻击用于第三十攻八页,共击一百零八目页。 标配置不正确的消
第九页,共一百零八页。
2. 防火墙的技术分类 (1) 包过滤技术 包过滤技术是防火墙最为根本和传统的技术。
所谓“包过滤〞就是过滤数据包,使符合规 那么的数据包通过(tōngguò)而不符合规那么的数 据包被拒绝或丢弃。 包过滤技术防火墙工作在第三层及三层以下。
第十页,共一百零八页。
入侵检测系统简介
入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。
它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。
一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。
这有助于及时发现并应对新型的攻击手段。
2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。
管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。
3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。
这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。
4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。
此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。
二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。
它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。
由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。
2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。
它可以及时发现未知的入侵行为,但也容易产生误报。
该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。
3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。
入侵检测系统
格式 “” 由identd返回的该用户信息 UserID [DD/MMM/YYYY:HH:MM:SS+TimeZone] “GET ” NNN,如果没有则以“-”表示 NNNNN,如果没有则以“-”表示 /dir/page “browser/version”(操作系统)
日期
时间
主体标识
事件标号
事件来源
事件等级
计算机名 事件类别
事件描述区的内容取决于具体的事件,可以是事件的名称、详 细说明、产生该事件的原因、建议的解决方案等信息。
附加数据
可选数据区,通常包含可以以16进制方式显示的二进制数据。 具体内容由产生事件记录的应用程序决定。
2021/2/4
1
33
33
系统日志
2021/2/4
1
15
15
审计记录的问题
• 过于细节化的问题 • 缺乏足够细节的问题 • 缺乏说明文档 • 不同系统审计记录的不兼容
– 最让入侵检测系统头疼的问题!
2021/2/4
1
16
16
审计记录内容
• 响应事件的主题和涉及事件的目标信息
– 主体
– 对象
– 进程
– 用户id
– 系统调用的参数
– 返回值
– 基于主机的监测收集通常在操作系统层的来自计算机内 部的数据,包括操作系统审计跟踪信息和系统日志
• 来自网络的 – 检测收集网络的数据
• 来自应用程序的
– 监测收集来自运行着的应用程序的数据,包括应用程序 事件日志和其它存储在应用程序内部的数据
• 来自目标机的 – 使用散列函数来检测对系统对象的修改。
2021/2/4
1
5
(2)信息分析
信息安全第8章习题答案
3. 在本章,我们讨论了访问控制列表(ACL)和访问能力列表(C-list)。
a. 请给出访问能力列表相对于访问控制列表的两个优势。
解:1.方便权限回收2.比较容易判断出主体对客体有何种访问权限b. 请给出访问控制列表相对于访问能力列表的两个优势。
解:1.方便权限传递2.方便查询某个主体的所有授权访问26. 在这一章,我们讨论了三种类型的防火墙:包括过滤防火墙、基于状态检测的包过滤防火墙以及应用代理防火墙。
a. 请问,上述三种防火墙都分别工作在IP网络协议栈中的哪个层次上?解:1.包过滤防火墙:网络层2. 基于状态检测的包过滤防火墙:传输层,网络层3. 应用代理防火墙:应用层b. 请问,上述三种防火墙分别能够获得哪些信息?解:1.包过滤防火墙:源IP地址、目的IP地址、源端口、目的端口以及TCP标志位2.基于状态检测的包过滤防火墙:信息包括源IP地址、目的IP地址、源端口、目的端口以及TCP标志位3.应用代理防火墙:七层数据c. 针对上述三种防火墙,请分别简要地讨论一个它们所面临的实际攻击的例子。
解:1.包过滤防火墙:ip欺骗攻击,木马攻击2. 基于状态检测的包过滤防火墙:协议隧道攻击,反弹木马攻击3. 应用代理防火墙:非授权web访问,非授权Telnet访问36. 从广义上讲,有两种不同类型的入侵检测系统,即基于特征的和基于异常行为的。
a. 请列举出基于特征的入侵检测系统相对于基于异常的入侵检测系统的若干优势。
解:1.简单、高效(只要特征的数量不是太多)以及优秀的检测已知攻击的能力。
2.能够发出比较明确具体的报警,因为这些特征都是与一些特定模式的攻击相匹配。
b. 请列举出基于异常的入侵检测系统相对于基于特征的入侵检测系统的若干优势。
解:1.可以检测未知攻击2.可以检测到新的攻击3.对操作系统的依赖性小4.在不知道很多安全知识的情况下依然能检测出攻击行为答:可能检测出未知的攻击;如果特征文件较大的时候,基于异常的检测技术要好一点。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.3.3 分布式入侵检测系统
基于网络与基于主机的IDS相比具有明显的 优点,如部署数量少,能实时监测、具有OS 独立性等,但同时也有较大的缺陷:只能检 查一个广播型网段上的通信、难以处理加密 的会话过程。 由此看出,二者各有优势,且具有互补性, 把二者结合起来使用,有可能改善入侵检测 系统的检测效果,这就是分布式入侵检测系 统(Distributed IDS,DIDS)形成的原因。
第8章 入侵检测技术
本章介绍入侵检测系统的基本概念和发展方 向,体系结构和公共入侵检测框架CIDF。论 述了基于主机的(HIDS)、基于网络的 (NIDS)和分布式的(DIDS)入侵检测系 统的内涵和特点;详细描述了检测:异常检 测法和基于误用检测法
8.1 入侵检测系统概述
传统的计算机安全技术已不能满足复杂系统 的安全性要求. 入侵检测系统已成为网络计算机系统中一个 有效的防范检测手段,对正常和误用的系统 行为提供了识别的技术. 入侵是指对任何企图危及资源的完整性、机 密性和可用性的活动。入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的 发觉
8.3 入侵检测系统的类型
从数据来源和系统结构分类,入侵检测系统 分为3类: 基于主机的入侵检测系统:主机型IDS驻留 在一台主机上,监控那些有入侵动作的机器。 基于网络的入侵检测系统:对流动在网络中 的其他主机发送和接收的流量进行监控。 分布式入侵检测系统(混合型):由多个部件 组成,分布在网络的各个部分,它们分别进 行数据采集、分析等工作 。
基于主机的入侵检测系统有一些重大缺点。 因为HIDS是基于主机的,它对整个网络的拓 扑结构认识有限。 攻击者可以控制一台未安装HIDS的机器,然 后对受保护的主机进行合法访问,这时HIDS 检测不出攻击,使得入侵检测系统变得毫无 用处。唯一的办法成了要在每一台可能遭受 攻击的主机上安装HIDS,这将导致成本过高, 而且也未必能保证绝对的安全。
CIDF定义的体系结构
输入:原始事件源 事件生成器 输出:原始 或低级事件 输出: 高级中断事件 响应单元
输出:反应或事件
输出:事件的存储信息 事件数据库 目录服务器
事件分析器
事件生成器是采集和过滤事件数据的程序或 模块。 事件分析器分析事件数据和任何CIDF组件传 送给它的各种数据。 事件数据库是各种原始数据或已加工过数据 的存储器。
响应单元是针对分析组件产生的分析结果, 根据响应策略采取相应的行为,发出命令响 应攻击,如杀死进程或复位连接。 目录服务器组件用于各组件定位其他组件, 以及控制其他组件传递的数据并认证其他组 件的使用,以防止IDS本身受到攻击。
从图中可以看出,各组件之间采用松散的耦 合方式,实现入侵检测系统功能的4个组件通 过目录服务器组件进行定位、认证,即提供 配置和目录服务的组件,把其他组件连接到 一起。 组件可采用分级体系结构、网状体系结构或 者混和结构来组织。
(2)入侵检测的智能化 入侵方法越来越多样化和综合化,传统的 入侵检测分析方法无法完全实现检测功能, 保证计算机的安全。 入侵检测与智能代理、神经网络以及遗传算 法的结合是更深一层的研究,特别是智能代 理的IDS需要加以进一步的研究以解决自学 习能力与适应能力。
(3) 响应策略的研究 入侵检测系统只实现了检测功能,未能及 时的做出相应的响应。所以入侵检测系统的 响应策略是十分重要的。识别出入侵后的响 应策略是IDS维护系统安全性、完整性的关 键。 (4)网络安全技术相结合 结合防火墙、PKI、安全电子交易(SET) 等新的网络安全与电子商务技术,提供完整 的网络安全保障。
各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
DIDS由主机代理(Host Agent)、局域网 代理(LAN Agent)和控制器(DIDS Director)三部分组成,主机代理负责监测 某台主机的安全,依据搜集到这台主机活动 的信息产生主机安全事件,并将这些安全事 件传送到控制器。
和分级体系相反,网状体系结构 ,允许信息 从任何节点流向任何其他节点。如图
网状结构的通信通常不是很有效,因为没有 限制的通信流。 但是,网状体系结构功能的灵活性弥补了通 信效率低的不足。这种体系结构将收集、汇 聚和命令控制功能集成到一个驻留在每个监 控系统上的组件中。
混和模型是一种综合分级和网状体系结构最 佳特征的方法。 混和模型采用网状体系结构,它没有明确的 根,但是保留整体的分级结构,并允许组件 不按严格的分级结构灵活的通信。
8.2 入侵检测系统的发展历史和现状
入侵检测系统目前主要存在的问题有: (1)IDS产品的检测准确率比较低,漏报和 误报比较多。 (2)入侵检测系统不能对攻击做出响应 (3) IDS维护比较难 (4) 缺乏国际国内标准,IDS产品的测评缺 乏统一的标准和平台
入侵检测系统的发展
8.4.3 对入侵检测系统的新的攻击和威胁
网络攻击多种多样,攻击者发动攻击的典型 方式主要包括简单攻击、环形攻击、旋转门 柄攻击、分布式攻击以及链式攻击,攻击过 程中的一些行为类型表明了攻击者访问系统 的企图; 另外一些行为则试图隐藏攻击者的真实身份 或者攻击者的恶意行为或企图
混和体系结构
命令和控制节点 汇聚节点
收集节点
一般地,层次化的体系结构通信效率较高。 在此层次结构中,信息提炼、过滤向上,控 制命令向下。此种体系结构对于中央控制管 理的可扩展分布式入侵检测系统非常适合。 目前并没有公认的体系结构,因为人们对大 规模网络入侵检测的功能、覆盖范围和检测 方法认识尚不统一。
分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、 基于主机IDS、防病毒以及攻击响应系统。
分级体系结构
命令和控制节点
汇聚节点
收集节点
分级体系结构导致有效的通信 分级体系结构对于创建可扩展的、具有中央 管理点的分布IDS很有用。 但是,这些结构要求较严格,因为需要和组 件相关的功能和通信线。
基于主机的IDS具有如下优点
能够更加准确地判断攻击是否成功 监视特定的系统活动 HIDS可以检测到那些基于网络的系统察觉不 到的攻击
8.3.2 基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上 对通信数据进行侦听,采集数据,分析可疑 现象,系统根据网络流量、协议分析、简单 网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放置在网络基础设施的关键区域, 监控流向其他主机的流量。
基于主机的入侵检测系统图
审计数据
审计数据过滤
相关数据
审计分析
分析员
基于主机的入侵检测系统
此系统依赖于审计数据或系统日志的准确 性和完整性以及安全事件的定义。 这些系统的实现不全在目标主机上,有些 采用独立的外围处理机,也有的使用网络 将主机的信息传送到中央分析单元。 但全部是根据目标系统的审计记录工作, 不一定能及时采集到审计记录是这些系统 的弱点,因此入侵者可能会将主机审计系 统作为攻击目标以避开入侵检测系统。
DIDS综合了基于主机和基于网络的IDS的功 能。它通过收集、合并来自多个主机的审计 数据和检查网络通信,能够检测出多个主机 发起的协同攻击。 DIDS系统在框架上结合了Haystack系统和 NSM系统的特点,进行数据的分布式监视, 集中式分析。
DIDS的分布性表现在两个方面: 首先,数据包过滤的工作由分布在各网络设 备(包括联网主机)上的探测代理完成; 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
8.4.2 通用入侵检测框架
通用入侵检测框架CIDF(Common Intrusion Detection Framework)定义了 大多数IDS要具有的基本组件。 CIDF是为了解决不同IDS的互操作性和共存 问题而提出的,它试图建立通用的入侵检测 体系结构。 CIDF可以提供IDS组件共享、数据共享,并 完善互用性标准,最终建立一套开发接口和 支持工具,以提高独立开发部分组件的能力。
(1)体系结构的发展 现有入侵检测系统多采用单一体系结构,即所 有的工作包括数据采集、分析都由单一主机上的单 一程序来完成。 而一些分布式的入侵检测系统只是在数据采集 上实现了分布式,数据的分析、入侵的发现还是由 单个的程序来完成,造成系统的可扩展性较差、单 点失效、系统缺乏灵活性和配置性等缺点。具有多 系统的、可以互相协同工作的、可重用的通用入侵 检测体系结构是重要的研究方向
在现有的网络环境下,单独依靠主机审计信 息进行入侵检测难以满足网络安全的需求, 由于主机的审计数据的弱点,如易受攻击, 而且入侵者可以通过使用某些系统特权和调 用比审计本身更低级的操作来逃避审计,因 此不能仅仅通过分析主机的审计记录来检测 网络攻击。
基于主机的HIDS(Host-based IDS , HIDS)在 操作系统、应用程序或内核层次上对攻击进 行监控,监视和寻找操作系统的可疑事件。 要发现一些恶意事件,HIDS需要和主机协调 一致,被监控的主机系统深入的知识只能由 入侵检测系统所掌握。要检测一些攻击, HIDS必须具备主机的正常行为的知识。
基于网络的入侵检测系统的数据来源于网络 的信息流,NIDS被动地在网络上监听整个网 络上的信息流,分析所截获的网络数据包, 检测其是否发生网络入侵。 NIDS与基于主机的入侵检测系统对比,前 者对入侵者而言是透明的,入侵者不知道有 入侵检测系统的存在。