HIDS具有哪些缺点

HIDS具有以下缺点：

• HIDS安装在需要保护的设备上，会降低应用系统的效率。举例来说，当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统，从而降低应用系统的效率。此外，还会带来一些额外的安全问题，如安装了HIDS后，将本不在安全管理员访问权限范围内的服务器变成其可以访问的了。

• HIDS依赖于服务器固有的日志与监视能力，这将会给运行中的业务系统带来不可预见的性能影响。

• 全面安装HIDS代价较大，企业中很难对所有主机采用HIDS保护，只能选择分主机保护。那些未安装HIDS的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。

• HIDS除了监测自身的主机以外，不监测网络上的情况。对入侵行为分析的工作量将随着主机数目增加而增加。

• 在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉。

• 主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为不能作出正确的响应，例如利用网络协议栈的漏洞进行的攻击，通过ping命令发送大数据包，造成系统协议栈溢出而死机，或是利用ARP欺骗来伪装成其他主机进行通信，这些手段都不会被高层的日志记录下来。

• 在数据提取的实时性、充分性、可靠性方面，基于主机日志的HIDS不如NIDS。