@秒灵儿
2年前 提问
1个回答
HIDS 与 NIDS 相比有哪些优势和不足
一颗小胡椒
2年前
官方采纳
相对于网络入侵检测系统(NIDS),主机入侵检测系统(HIDS)有以下优点:
性价比高:在主机数量较少的情况下,这种方法的性价比可能更高。
更加细致:这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。
视野集中:一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法活动的。
易于用户剪裁:每一个主机有其自己的代理,用户剪裁更方便。
较少的主机:基于主机的方法不需要增加专门的硬件平台。
对网络流量不敏感:用代理的方式一般不会因为网络流量的增加而丢失对网络行为的监视。
当然,主机入侵检测系统也有它的局限性:
操作系统局限:不象NIDS,厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全,HIDS的安全性受其所在主机操作系统的安全性限制。
系统日志限制:HIDS会通过监测系统日志来发现可疑的行为,但有些程序的系统日志并不详细,或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。
被修改过的系统核心能够骗过文件检查:如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。