基于网络的入侵检测
基于网络的入侵检测产品(NIDS),通常也称硬件检测系统,放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。
如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接,网管可以在windows平台进行配置,中央管理。目前,大部分入侵检测产品是基于网络的。
网络入侵检测系统的优点:
网络入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。
一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务
系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。
网络入侵检测系统近年内有向专门的设备发展的趋势,安装这样的一个网络入侵检测系统非常方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。
网络入侵检测系统的弱点:
网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使布署整个系统的成本大大增加。
网络入侵检测系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,对入侵判断的决策由传感器实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。
网络入侵检测系统处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。
基于网络的入侵检测系统。它通过在网段上对通信数据的侦听来采集数据。当它同时检测许多台主机的时候,系统的性能将会下降,特 别是在网速越来越快的情况下。由于系统需要长期保留许多台主机的受攻击信息记录,所以会导致系统资源耗竭。尽管存在这些缺点,但由于 基于网络的IDS易于配置和易于作为一个独立的组件来进行管理而且他们对受保护系统的性能不产生影响或影响很小,所以他们仍然很受欢迎。