IDS如何分类

　　 
　　IDS如何分类
    当前的IDS系统可以分为基于主机分析和基于网络数据包分析两种基本方式。

基于主机的IDS

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。基于主机的IDS通常采用查看针对可疑行为的审计记录来执行。它能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校验和分析系统是否被侵入或者被攻击。

基于网络的IDS

基于网络的IDS主要用于实时监控网络关键路径的信息。它可利用工作在混合模式下的网卡实时监视和分析所有通过共享网络的传输。基于网络的IDS一般被放置在比较重要的网段内，部分也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模块按照配置对攻击做出反应。通常这些反应包括发送电子邮件、寻呼、记录日志、切断网络连接等。

两者互为补充

两种入侵检测系统都具有自己的优点和不足，互相可作为补充。基于主机的入侵检测系统可以精确地判断入侵事件，可对入侵事件立即进行反应，还可针对不同操作系统的特点判断应用层的入侵事件; 其缺点是会占用主机宝贵的资源。

基于网络的入侵检测系统只能监视经过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防入侵欺骗的能力也比较差; 但是它可以提供实时网络监视，并且监视力度更细致。

原文转自：http://www.ltesting.net