@
2年前 提问
1个回答

分布式入侵检测的优势有哪些

一颗小胡椒
2年前

入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统两大类。

基于网络的入侵检测系统优势:

  • 基于网络的入侵检测系统不需要改变服务器等主机的配置,不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O接口与磁盘等资源的使用。

  • 基于网络的入侵检测系统不像路由器、防火墙等关键设备,其不会成为系统中的关键路径。

  • 基于网络的入侵检测系统发生故障不会影响到正常的业务运行。

  • 基于网络的入侵检测系统的优势在于它的实时性,当检测到攻击时,其能很快做出反应。

  • 基于网络的入侵检测系统可以在一个点上监测整个网络中的数据包,不必像基于主机的入侵检测系统那样,需要在每一台主机上都安装检测系统,因此,基于网络的入侵检测系统是一种经济的解决方案。

  • 基于网络的入侵检测系统检测网络包时并不依靠操作系统来提供数据,因此它有着对操作系统的独立性。

基于主机的入侵检测系统优势:

  • 基于主机的入侵检测系统可以检测到用户滥用权限、创建后门账户、修改重要数据和改变安全配置等入侵行为,同时还可以定期对系统关键文件进行检查,计算其校验值以确信其完整性。

  • 基于主机的入侵检测系统检测发生在主机上的活动,处理的都是操作系统事件或应用程序事件而不是网络包,所以高速网络对它没有影响。同时它使用的是操作系统提供的信息,经过加密的数据包在到达操作系统后,都已经被解密,所以基于主机的入侵检测系统能很好地处理包加密的问题。

  • 基于主机的入侵检测系统还可以综合多个数据源进行进一步的分析,利用数据挖掘技术来发现入侵。