基于主机的入侵检测系统 回优点: ■检测准确度较高 可以检测到没有明显行为特征的入侵; 能够对不同的操作系统进行有针对性的检测; ■成本较低; 不会因网络流量影响性能; 适于加密和交换环境。 回不足: ■实时性较差; ■无法检测数据包的全部; ■检测效果取决于日志系统 ■占用主机资源; ■隐蔽性较差; 16
16 基于主机的入侵检测系统 ₪ 优点: ■ 检测准确度较高; ■ 可以检测到没有明显行为特征的入侵; ■ 能够对不同的操作系统进行有针对性的检测; ■ 成本较低; ■ 不会因网络流量影响性能; ■ 适于加密和交换环境。 ₪ 不足: ■ 实时性较差; ■ 无法检测数据包的全部; ■ 检测效果取决于日志系统; ■ 占用主机资源; ■ 隐蔽性较差;
基于网络的入侵检测系统 维为组众喜榨众建荇媐击梦据上,它使用原始的 般利用二个网络适配器来实时监视和分析所有通过网络进 传输的通信; 检测到攻击,入侵检测系统应答模块通过通知、报警以 及中断连接等方式来对攻击做出反应; 回侦听某一个P,保护特定服务器的安全; 体听整个网段,将本身的网卡设置为混杂模式以接收网段内 的所有数据包; 会使用位于网络层和传输层的网络侦呀底层实现对 网络的侦听,获取其所见到的所有包笄传给上一层。 17
17 基于网络的入侵检测系统 ₪ 作为一个独立的个体放置于被保护的网络上,它使用原始的 网络分组数据包作为进行攻击分析的数据源; ₪ 一般利用一个网络适配器来实时监视和分析所有通过网络进 行传输的通信; ₪ 一旦检测到攻击,入侵检测系统应答模块通过通知、报警以 及中断连接等方式来对攻击做出反应; ₪ 侦听某一个IP,保护特定服务器的安全; ₪ 侦听整个网段,将本身的网卡设置为混杂模式以接收网段内 的所有数据包; ₪ 通常系统会使用位于网络层和传输层的网络侦听底层实现对 网络的侦听,获取其所见到的所有包并传给上一层