入侵检测系统分类
时间:2013-8-16
一般来说,入侵检测系统可分为主机型和网络型,在实际使用时,也可将二者结合使用.
主机型入侵检测系统往往以系统日志,应用程序日志等作为数据源,当然也可以通过其他手段,从所在的主机收集并进行分析,主机型入侵检测系统保护的一般是所在系统,主机型IDS的优点是,系统的内在结构没有任何束缚,同时可以利用操作系统本身提供的功能,并结合异常分析,更地报告攻击行为,它的缺点是,必须为不同的平台开发不同的程序,增加系统负荷.
网络型入侵检测系统的数据源则是网络上的数据包,通常将一台主机的网卡设为混杂模式,监听所有本网段内的数据包并进行判断,一般网络型入侵检测系统担负着保护整个网段的任务,网络型IDS的优点主要是简便,一个网段上只须安装一个或几个这样的系统,便可以监测整个网段的情况,同时,由于往往使用单独的计算机做这种应用,不会给运行关键业务的主机常 来负载上的增加,它的缺点是,由于现在网络的结构日趋复杂,以及调整网络的普及,这种结构已逐渐显示出其局限性.