中级通信互联网技术知识点精讲之入侵检测系统类型

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之入侵检测系统类型，希望能帮助学友们。具体内容如下：

       入侵检测系统类型

       从技术上看，基本上分为以下几类：基于网络和基于主机的入侵检测系统。混合入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。有时候，文件的完整性检査工具也可看做是一类入侵检测产品。

       1.基于网络的入侵检测

       基于网络的入侵检测系统（NIDS)放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与内置的某些规则吻合，入侵检测系统就会发出聱报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。典型的网络入侵检测系统有Snort、NFR,Shadow等。

       (1)优点

       NIDS能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。

       一个N1DS不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

       由于NIDS不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。NIDS发生故障不会影响正常业务的运行。部署一个NIDS的风险比主机入侵检测系统的风险少得多。

       NIDS近年内有向专门的设备发展的趋势，安装这样的一个NIDS非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

       (2)弱点

       NIDS只检査它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台NIDS的传感器会使部署整个系统的成本大大增加。

       NIDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

       NIDS可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流景。一些系统在实现时采用一定方法来减少回传的数据撒，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。

       NIDS处理加密的会话过程较困难，目前通过加密通道的攻击还不多，但随着IPv6的普及，这个问题会越来越突出。

       2.基于主机的入侵检测

       基于主机的入侵检测系统（HIDS〉通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律)，入侵检测系统就会采取相应措施。

       (1)优点

       HIDS对分析“可能的攻击行为”非常有用。它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者做了什么事，运行了什么程序，打开了哪些文件，执行了哪些系统调用。HIDS与NIDS相比通常能够提供更详尽的相关信息。

       因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多，所以在通常情况下HIDS比N1DS误报率要低。

       HIDS可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。

       (2)弱点

       HIDS安装在霈要保护的设备上，这会降低应用系统的效率，也会带来一些额外的安全问题。HIDS依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置。HIDS只监测自身的主机，不监测网络上的情况。

       3.混合入侵检测

       基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。如果这两类产品能够无缝结合起来部署在网络内.则会构架成一套完整立体的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

       4.文件完整性检査

       文件完整性检查系统检査计算机中自上次检査后文件变化情况。文件完整性检査系统保存有每个文件的信息摘要数据库，每次检査时，重新计算文件的信息摘要并将它与数据库中的值相比较，如不同，则文件已被修改；若相同，文件则未发生变化。

       文件的信息摘要通过Hash由数计算得到。通常采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。

       (1)优点

       从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。

       文件完整性检査系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。

       入侵者攻击系统时，首先，他要掩盖他的踪迹，即要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其次，他要做一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出》

       (2)弱点

       文件完整性检查系统依赖于本地的信息摘要数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将信息摘要数据库放在只读的介质上，但这样的配置不够灵活性。

       做一次完整的文件完整性检查是一个非常耗时的工作。

       系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作。例如，在WindowsNT操作系统中升级MicrosoftOutlook将会引起1800多个文件变化。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲