Q2IS的分类 ◆IDS一般从实现方式上分为两种:基于主 机的IDS和基于网络的DS。一个完备的 入侵检测系统IDS一定是基于主机和基于 网络两种方式兼备的分布式系统。 ◆不管使用哪一种工作方式,都用不同的 方式使用了上述两种分析技术,都需要 查找攻击签名( Attack Signature)。所谓 攻击签名,就是用一种特定的方式来表 示已知的攻击方式
2 IDS的分类 ♦ IDS一般从实现方式上分为两种 基于主 机的IDS和基于网络的IDS 一个完备的 入侵检测系统IDS一定是基于主机和基于 网络两种方式兼备的分布式系统 ♦不管使用哪一种工作方式 都用不同的 方式使用了上述两种分析技术 都需要 查找攻击签名 Attack Signature 所谓 攻击签名 就是用一种特定的方式来表 示已知的攻击方式
21基于网络的IDS 基于网络的IDS使用原始的网络分组 数据包作为进行攻击分析的数据源, 般利用一个网络适配器来实时监视和分 析所有通过网络进行传输的通信。一日 检测到攻击,IDS应答模块通过通知、报 警以及中断连接等方式来对攻击作出反 应
2.1 基于网络的IDS 基于网络的IDS使用原始的网络分组 数据包作为进行攻击分析的数据源 一 般利用一个网络适配器来实时监视和分 析所有通过网络进行传输的通信 一旦 检测到攻击 IDS应答模块通过通知 报 警以及中断连接等方式来对攻击作出反 应
基于网终的入侵检测系统的主要优点有 (1)成本低。 2)攻击者转移证据很困难。 然(3实时检测和应答。一旦发生恶意访问或攻击,基于网 络的IDS检测可以随时发现它们,因此能够更快地作出 反应。从而将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 ◆(5)操作系统独立。基于网络的IDS并不依赖主机的操 作系统作为检测资源。而基于主机的系统需要特定的 操作系统才能发挥作用
基于网络的入侵检测系统的主要 优点有 1 成本低 2 攻击者转移证 据很困难 (3)实时检测和应答 一旦发生恶意访问或攻击 基于网 络的IDS检测 可 以 随时发现它们 因此 能够更快地作出 反应 从而 将入侵活动对系统的破坏减 到最低 (4) 能 够检测未成功的攻击企图 ♦ (5)操作系统独立 基于网络的IDS并不依赖主机的操 作系统作为检测 资 源 而基于主机的系统需要特定的 操作系统 才能发 挥作用
2.2基于主机的DS 基于主机的DS一般监视 Windows nt 上的系统、事件、安全日志以及UNX环 境中的 syslog文件。一旦发现这些文件发 生任何变化,IDS将比较新的日志记录与 攻击签名以发现它们是否匹配。如果匹 配的话,检测系统就向管理员发出入侵 报警并且发出采取相应的行动
2.2 .基于主机的IDS 基于主机的IDS一般监视Windows NT 上的系统 事件 安全日志以及UNIX环 境中的syslog文件 一旦发现这些文件发 生任何变化 IDS将比较新的日志记录与 攻击签名以发现它们是否匹配 如果匹 配的话 检测系统就向管理员发出入侵 报警并且发出采取相应的行动
基于主机的IDS的主要优势有 ◆(1)非常适用于加密和交换环境。 ◆(2接近实时的检测和应答。 ◆(3)不需要额外的硬件
基于主机的IDS的主要优势有 ♦ (1)非常适用于加密和交换环境 ♦ (2)接近实时的检测和应答 ♦ (3)不需要额外的硬件