1. 入侵检测产品 一个入侵检测产品通常由两部分组成:传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用,商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。 从技术上看,这些产品基本上分为以下几类: 基于网络的产品和基于主机的产品 。 2. 基于网络的入侵检测 基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。 网络入侵检测系统的优点: 1.网络入侵检测系统能够检测那些来自网络的攻击,它能够检测到超过授权的非法访问。 2.一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。 3.由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作,它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。 4.网络入侵检测系统近年内有向专门的设备发展的趋势,安装这样的一个网络入侵检测系统非常方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。 网络入侵检测系统的弱点: 1.网络入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。 2.网络入侵检测系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 3.网络入侵检测系统可能会将大量的数据传回分析系统中。 4.网络入侵检测系统处理加密的会话过程较困难,目前通过加密通道的攻击尚不多,但随着IPv6的普及,这个问题会越来越突出。 3. 基于主机的入侵检测 基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。 主机入侵检测系统的优点: 主机入侵检测系统对分析“可能的攻击行为”非常有用。 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低。 主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。 主机入侵检测系统的弱点: 主机入侵检测系统安装在我们需要保护的设备上。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。 全面布署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。 主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。
入侵检测技术知识介绍
入侵检测产品分析
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073