入侵偵測(cè)系統(tǒng)其實(shí)可以算是一個(gè)偵測(cè)程序��,主要在于偵測(cè)外部攻擊者以及內(nèi)部人員對(duì)未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?���。接下來將為大家介紹入侵偵測(cè)系統(tǒng)的基本概念�����,其所使用的偵測(cè)技巧以及各項(xiàng)偵測(cè)技巧與建置方式的優(yōu)缺點(diǎn)比較�。
【安防知識(shí)網(wǎng)】入侵偵測(cè)系統(tǒng)其實(shí)可以算是一個(gè)偵測(cè)程序,主要在于偵測(cè)外部攻擊者以及內(nèi)部人員對(duì)未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?����。接下來將為大家介紹入侵偵測(cè)系統(tǒng)的基本概念��,其所使用的偵測(cè)技巧以及各項(xiàng)偵測(cè)技巧與建置方式的優(yōu)缺點(diǎn)比較����?��;旧先肭謧蓽y(cè)系統(tǒng)分為兩種建置方式∶主機(jī)端入侵偵測(cè)系統(tǒng)(Host-basedIDS)以及網(wǎng)路端入侵偵測(cè)系統(tǒng)(Network-basedIDS)。
什么是主機(jī)端入侵偵測(cè)系統(tǒng)?
主機(jī)端入侵偵測(cè)系統(tǒng)主要是靠記錄并分析該主機(jī)上的各項(xiàng)活動(dòng)程序以偵測(cè)是否有不適當(dāng)?shù)拇嫒⌒袨?��。藉由這樣的方式來判斷該主機(jī)上某個(gè)特定的處理程序或使用者是否正在進(jìn)行可疑的攻擊行為�����。
主機(jī)端入侵偵測(cè)系統(tǒng)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)∶
主機(jī)端入侵偵測(cè)系統(tǒng)可以偵測(cè)到網(wǎng)路端入侵偵測(cè)系統(tǒng)所偵測(cè)不到的攻擊行為����,因?yàn)樗轻槍?duì)本地主機(jī)做事件記錄的檢視���。
主機(jī)端入侵偵測(cè)系統(tǒng)可以在有加密(encrypted)的網(wǎng)路環(huán)境下運(yùn)作,只要加密的記錄資訊����,能在監(jiān)聽的主機(jī)上解密(decrypted)或在送達(dá)監(jiān)聽主機(jī)之前解密即可。
主機(jī)端入侵偵測(cè)系統(tǒng)可以在交換式網(wǎng)路(switchednetwork)環(huán)境下運(yùn)作使用�����。因?yàn)橹鳈C(jī)端入侵偵測(cè)系統(tǒng)僅針對(duì)該監(jiān)聽主機(jī)所接收到的封包做分析,因此對(duì)是否建置在交換網(wǎng)路上并不會(huì)有任何影響��。
缺點(diǎn)∶
收集監(jiān)聽記錄的機(jī)制通常必須在每一臺(tái)所要監(jiān)聽的主機(jī)上安裝并維護(hù)��。正因?yàn)橹鳈C(jī)端入侵偵測(cè)系統(tǒng)部份的系統(tǒng)是安裝在所要監(jiān)聽的主機(jī)上�,所以當(dāng)所監(jiān)聽的主機(jī)受到攻擊時(shí),主機(jī)端入侵偵測(cè)系統(tǒng)可能也會(huì)同時(shí)受到攻擊��,或者可能會(huì)被較高明的攻擊者在入侵后將其監(jiān)聽功能關(guān)閉����。
主機(jī)端入侵偵測(cè)系統(tǒng)對(duì)網(wǎng)段上的掃瞄并不能有效地偵測(cè),因?yàn)槠鋬H能偵測(cè)到該主機(jī)所收到的封包而不能得知其它主機(jī)是否也收到類似的攻擊���。主機(jī)端入侵偵測(cè)系統(tǒng)通常對(duì)阻斷服務(wù)式攻擊(Denial-of-Serviceattack)有偵測(cè)上的困難�����,而且也無法有效地在阻斷服務(wù)式攻擊下正常運(yùn)作���。主機(jī)端入侵偵測(cè)系統(tǒng)在運(yùn)作時(shí)是占用所被監(jiān)聽主機(jī)的硬體資源。
[nextpage] 什么是網(wǎng)路端入侵偵測(cè)系統(tǒng)?
網(wǎng)路端入侵偵測(cè)系統(tǒng)以記錄并分析網(wǎng)路封包的方式來偵測(cè)入侵行為�����,其主要建置在網(wǎng)路的骨干上。單一的「網(wǎng)路端」入侵偵測(cè)系統(tǒng)便可監(jiān)聽大量的網(wǎng)路資訊����。網(wǎng)路端入侵偵測(cè)系統(tǒng)通常包含一組監(jiān)聽裝置,用于監(jiān)聽記錄網(wǎng)路封包并將所偵測(cè)到疑似攻擊的封包回報(bào)到單一獨(dú)立的管理控制臺(tái)(ManagementConsole)����。大多數(shù)的入侵偵測(cè)系統(tǒng)是處在隱形模式(StealthMode)下運(yùn)作,所以對(duì)攻擊者而言�,在偵測(cè)這些系統(tǒng)的存在以及其所部署的位置是非常困難的。
網(wǎng)路端入侵偵測(cè)系統(tǒng)的優(yōu)缺點(diǎn)
優(yōu)點(diǎn)∶
少數(shù)��、但位置部署良好的網(wǎng)路端入侵偵測(cè)系統(tǒng)�����,對(duì)偵測(cè)大型網(wǎng)路活動(dòng)具有非常高的效率�����。由于網(wǎng)路端入侵偵測(cè)系統(tǒng)為被動(dòng)式的裝置(passivedevice)����,因此其建置與部署并不會(huì)對(duì)原本的網(wǎng)路流量及運(yùn)作有顯著的影響���。所以建置網(wǎng)路端入侵偵測(cè)系統(tǒng)可以說是一項(xiàng)花費(fèi)最少成本卻可得到最有效率的投資��。網(wǎng)路端入侵偵測(cè)系統(tǒng)可以被設(shè)定為隱形模式�����,安全地保護(hù)其主機(jī)以避免成為攻擊者的目標(biāo)�����。
缺點(diǎn)∶
網(wǎng)路端入侵偵測(cè)系統(tǒng)對(duì)處理流量頻繁的大型網(wǎng)路之封包有某種程度的困難����,因此在封包流量高時(shí),可能會(huì)有遺漏偵測(cè)到正潛在進(jìn)行的攻擊行為的可能性��。部份廠商試著將「網(wǎng)路端」入侵偵測(cè)系統(tǒng)完全地建置在硬體平臺(tái)上以得到較好的效能來解決這樣的缺點(diǎn)�����。但是對(duì)「網(wǎng)路端」入侵偵測(cè)系統(tǒng)而言���,最重要的是如何以最低的電腦運(yùn)算效能去分析網(wǎng)路封包���,而達(dá)到最高的偵測(cè)準(zhǔn)確率���。
大部份較先進(jìn)的網(wǎng)路端入侵偵測(cè)系統(tǒng)并不完全適用于交換式網(wǎng)路環(huán)境(switchednetwork)。因?yàn)榇蟛糠莸慕粨Q式網(wǎng)路并不提供通用的監(jiān)聽埠(monitoringport)而導(dǎo)致「網(wǎng)路端」入侵偵測(cè)系統(tǒng)僅能監(jiān)聽單一主機(jī)���。
網(wǎng)路端入侵偵測(cè)系統(tǒng)無法對(duì)加密(encrypted)的資訊進(jìn)行分析�。這將會(huì)成為一個(gè)嚴(yán)重的問題��,因?yàn)闊o論是企業(yè)界或是攻擊者使用加密技術(shù)(encryption)來傳遞資訊的情況已日益頻繁��。
大部份的網(wǎng)路端入侵偵測(cè)系統(tǒng)并不會(huì)對(duì)攻擊行為是否成功作回報(bào)����,它們僅會(huì)對(duì)是否有攻擊行為的發(fā)生作回報(bào)。所以對(duì)系統(tǒng)管理者而言����,在每次偵測(cè)到有攻擊行為發(fā)生時(shí),他們必須親自對(duì)疑似被攻擊的主機(jī)作檢視調(diào)查以判斷攻擊行為是否成功�。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意���。如您是字體廠商����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解�!
粵公網(wǎng)安備 44030402000264號(hào)