@Sophia
2年前 提问
1个回答

基于主机的入侵检测系统的不足有哪些

帅末
2年前

基于主机的入侵检测系统的不足:

  • 会降低应用系统的性能:基于主机的入侵检测系统安装在需要保护的设备上,这样会在一定程度上加重被保护主机的负担,影响受保护主机的性能。举例来说,当一个数据库服务器需要保护时,就要在服务器上安装入侵检测系统,使本来已不堪重负的数据库服务器负荷更大,影响数据库服务器的性能发挥。

  • 依赖于服务器原有的日志与监视能力:基于主机的入侵检测系统是依赖于服务器固有的日志与监视能力的,如果服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。

  • 代价较大:全面布署基于主机的入侵检测系统代价较大,企业中很难将所有主机用基于主机的入侵检测系统保护起来,只能选择部分主机保护。那些未安装基于主机的入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。

  • 不能对网络进行监测:基于主机的入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。

  • 配置和维护困难:每台被检测的主机上都需要安装检测系统,每个系统都有维护和升级的任务,安装和维护需要一笔不小的费用。

  • 存在被关闭的可能:由于基于主机的入侵检测系统安装在被检测的主机上,因此有权限的用户或攻击者可以关闭检测程序以使自己的行为在系统中没有记录,进而来逃避检测。

  • 存在数据欺骗问题:攻击者或有权限的用户可以插入、修改或删除审计记录,逃避基于主机的入侵检测系统的检测。

  • 实时性较差:基于主机的入侵检测系统进行的多是事后检测,因此,当发现入侵时,系统多数已经遭到了破坏。