入侵偵測系統(tǒng)其實可以算是一個偵測程序����,主要在于偵測外部攻擊者以及內(nèi)部人員對未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?���。接下來將為大家介紹入侵偵測系統(tǒng)的基本概念��,其所使用的偵測技巧以及各項偵測技巧與建置方式的優(yōu)缺點比較。
【安防知識網(wǎng)】入侵偵測系統(tǒng)其實可以算是一個偵測程序,主要在于偵測外部攻擊者以及內(nèi)部人員對未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?�。接下來將為大家介紹入侵偵測系統(tǒng)的基本概念�����,其所使用的偵測技巧以及各項偵測技巧與建置方式的優(yōu)缺點比較?�;旧先肭謧蓽y系統(tǒng)分為兩種建置方式∶主機(jī)端入侵偵測系統(tǒng)(Host-basedIDS)以及網(wǎng)路端入侵偵測系統(tǒng)(Network-basedIDS)�����。
什么是主機(jī)端入侵偵測系統(tǒng)?
主機(jī)端入侵偵測系統(tǒng)主要是靠記錄并分析該主機(jī)上的各項活動程序以偵測是否有不適當(dāng)?shù)拇嫒⌒袨?�。藉由這樣的方式來判斷該主機(jī)上某個特定的處理程序或使用者是否正在進(jìn)行可疑的攻擊行為�����。
主機(jī)端入侵偵測系統(tǒng)的優(yōu)缺點
優(yōu)點∶
主機(jī)端入侵偵測系統(tǒng)可以偵測到網(wǎng)路端入侵偵測系統(tǒng)所偵測不到的攻擊行為�����,因為它是針對本地主機(jī)做事件記錄的檢視��。
主機(jī)端入侵偵測系統(tǒng)可以在有加密(encrypted)的網(wǎng)路環(huán)境下運作�,只要加密的記錄資訊,能在監(jiān)聽的主機(jī)上解密(decrypted)或在送達(dá)監(jiān)聽主機(jī)之前解密即可��。
主機(jī)端入侵偵測系統(tǒng)可以在交換式網(wǎng)路(switchednetwork)環(huán)境下運作使用���。因為主機(jī)端入侵偵測系統(tǒng)僅針對該監(jiān)聽主機(jī)所接收到的封包做分析�����,因此對是否建置在交換網(wǎng)路上并不會有任何影響���。
缺點∶
收集監(jiān)聽記錄的機(jī)制通常必須在每一臺所要監(jiān)聽的主機(jī)上安裝并維護(hù)��。正因為主機(jī)端入侵偵測系統(tǒng)部份的系統(tǒng)是安裝在所要監(jiān)聽的主機(jī)上�����,所以當(dāng)所監(jiān)聽的主機(jī)受到攻擊時���,主機(jī)端入侵偵測系統(tǒng)可能也會同時受到攻擊,或者可能會被較高明的攻擊者在入侵后將其監(jiān)聽功能關(guān)閉���。
主機(jī)端入侵偵測系統(tǒng)對網(wǎng)段上的掃瞄并不能有效地偵測���,因為其僅能偵測到該主機(jī)所收到的封包而不能得知其它主機(jī)是否也收到類似的攻擊。主機(jī)端入侵偵測系統(tǒng)通常對阻斷服務(wù)式攻擊(Denial-of-Serviceattack)有偵測上的困難��,而且也無法有效地在阻斷服務(wù)式攻擊下正常運作��。主機(jī)端入侵偵測系統(tǒng)在運作時是占用所被監(jiān)聽主機(jī)的硬體資源����。
[nextpage] 什么是網(wǎng)路端入侵偵測系統(tǒng)?
網(wǎng)路端入侵偵測系統(tǒng)以記錄并分析網(wǎng)路封包的方式來偵測入侵行為,其主要建置在網(wǎng)路的骨干上���。單一的「網(wǎng)路端」入侵偵測系統(tǒng)便可監(jiān)聽大量的網(wǎng)路資訊�����。網(wǎng)路端入侵偵測系統(tǒng)通常包含一組監(jiān)聽裝置����,用于監(jiān)聽記錄網(wǎng)路封包并將所偵測到疑似攻擊的封包回報到單一獨立的管理控制臺(ManagementConsole)����。大多數(shù)的入侵偵測系統(tǒng)是處在隱形模式(StealthMode)下運作,所以對攻擊者而言��,在偵測這些系統(tǒng)的存在以及其所部署的位置是非常困難的�。
網(wǎng)路端入侵偵測系統(tǒng)的優(yōu)缺點
優(yōu)點∶
少數(shù)、但位置部署良好的網(wǎng)路端入侵偵測系統(tǒng)���,對偵測大型網(wǎng)路活動具有非常高的效率����。由于網(wǎng)路端入侵偵測系統(tǒng)為被動式的裝置(passivedevice),因此其建置與部署并不會對原本的網(wǎng)路流量及運作有顯著的影響��。所以建置網(wǎng)路端入侵偵測系統(tǒng)可以說是一項花費最少成本卻可得到最有效率的投資���。網(wǎng)路端入侵偵測系統(tǒng)可以被設(shè)定為隱形模式�����,安全地保護(hù)其主機(jī)以避免成為攻擊者的目標(biāo)���。
缺點∶
網(wǎng)路端入侵偵測系統(tǒng)對處理流量頻繁的大型網(wǎng)路之封包有某種程度的困難,因此在封包流量高時�����,可能會有遺漏偵測到正潛在進(jìn)行的攻擊行為的可能性�。部份廠商試著將「網(wǎng)路端」入侵偵測系統(tǒng)完全地建置在硬體平臺上以得到較好的效能來解決這樣的缺點。但是對「網(wǎng)路端」入侵偵測系統(tǒng)而言��,最重要的是如何以最低的電腦運算效能去分析網(wǎng)路封包�����,而達(dá)到最高的偵測準(zhǔn)確率����。
大部份較先進(jìn)的網(wǎng)路端入侵偵測系統(tǒng)并不完全適用于交換式網(wǎng)路環(huán)境(switchednetwork)。因為大部份的交換式網(wǎng)路并不提供通用的監(jiān)聽埠(monitoringport)而導(dǎo)致「網(wǎng)路端」入侵偵測系統(tǒng)僅能監(jiān)聽單一主機(jī)�。
網(wǎng)路端入侵偵測系統(tǒng)無法對加密(encrypted)的資訊進(jìn)行分析。這將會成為一個嚴(yán)重的問題��,因為無論是企業(yè)界或是攻擊者使用加密技術(shù)(encryption)來傳遞資訊的情況已日益頻繁���。
大部份的網(wǎng)路端入侵偵測系統(tǒng)并不會對攻擊行為是否成功作回報��,它們僅會對是否有攻擊行為的發(fā)生作回報��。所以對系統(tǒng)管理者而言����,在每次偵測到有攻擊行為發(fā)生時����,他們必須親自對疑似被攻擊的主機(jī)作檢視調(diào)查以判斷攻擊行為是否成功。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無意。如您是字體廠商����、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材��,請聯(lián)系我們�����,本站核實后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償���!敬請諒解�!
粵公網(wǎng)安備 44030402000264號