IDS的分类（2）

　　 
　　IDS的分类
     根据体系结构分类

按照体系结构，IDS可分为集中式、等级式和协作式三种，如表4所示。

1．集中式。

这种结构的IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这种结构的IDS在可伸缩性、可配置性方面存在致命缺陷：第一，随着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络性能大大降低；第二，系统安全性脆弱，一旦中央服务器出现故障，整个系统就会陷入瘫痪；第三，根据各个主机不同需求配置服务器也非常复杂。

2．等级式。

它用来监控大型网络，定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。这种结构仍存两个问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应的调整；第二，这种结构的IDS最后还是要把各地收集到的结果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。

3．协作式。

将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。
发展趋势

一个有趣的现象是: 基于网络的IDS被人们讨论得最多，似乎它应该代表IDS的发展潮流，但实际情况并非如此。部分原因是：

① 所监控的网络流量超过100Mbps之后，计算量非常之大，系统的数据处理与分析能力会显著降低，这使得它面临着一个难以逾越的技术门槛；

② 只能监控明文格式数据流，无法监控加密数据流，这不能不说是一个硬伤。
通过对上述分类的认真观察，我们发现IDS今后有如下一些发展趋势。
1．检测模型走向自适应。自适应模型结合了自学习系统的优点和特征系统的检测效率，这种混合模型已经被学术界公认为发展热点。
2．体系结构从集中式转向分布式。
3．响应方式由被动转向主动。
4．互操作性亟待提高。目前，IDS的研究基本上还处于各自为政的山大王纷争时代，不同的IDS之间及与其他安全产品之间的互操作性很差。为了推动IDS产品及部件之间的互操作性，DARPA和IETF入侵检测工作组分别制订了CIDF和IDMEF标准，从体系结构、API、通信机制、语言格式等方面规范IDS。
5．安全性需要增强。作为安全防护体系中的重要组成部分，IDS自身的安全性必须得到加强。
IDS目前的发展还处于幼年期，国产IDS产品更是多处于特征检测的初级阶段，在异常检测方面与国外还存在相当大的差距，在混合检测领域更是一片空白。（完）

原文转自：http://www.ltesting.net