23两种入侵检测技术的比较 ◆如果攻击不经过网络,基于网络的DS无 法检测到,只能通过使用基于主机的IDS 来检测。 ◆基于网络的IDS通过检查所有的包首标 ( header)来进行检测,而基于主机的 IDS并不查看包首标。许多基于IP的拒绝 服务攻击和碎片攻击,只能通过查看它 们通过网络传输时的包首标才能识别
2.3 两种入侵检测技术的比较 ♦如果攻击不经过网络 基于网络的IDS无 法检测到 只能通过使用基于主机的IDS 来检测 ♦基于网络的IDS通过检查所有的包首标 header 来进行检测 而基于主机的 IDS并不查看包首标 许多基于IP的拒绝 服务攻击和碎片攻击 只能通过查看它 们通过网络传输时的包首标才能识别
◆基于网络的IDS可以研究负载的内容,查 找特定攻击中使用的命令或语法,这类 攻击可以被实时检查包序列的DS迅速识 别。而基于主机的系统无法看到负载, 因此也无法识别嵌入式的负载攻击
♦基于网络的IDS 可以研究负载的内 容 查 找特定攻击中使用的命令 或语法 这 类 攻击 可以被实时检查包序列 的IDS迅速 识 别 而基于主机的系统无法看 到负载 因此 也无法识别 嵌入式的负载攻击