@Sophia
2年前 提问
1个回答

HIDS检测系统有什么缺点

Andrew
2年前

HIDS (Host-based Intrusion Detection System)基于主机的入侵检测系统,专注于系统内部,监测系统的动态行为以及整个系统的状态。HIDS检测系统有以下缺点:

  • 降低系统性能:原始数据要经过集中、分析和归档处理,这些都需要占用系统资源,因此,基于主机的入侵检测系统会在一定程度上降低系统性能。

  • 配置和维护困难:每台被检测的主机上都需要安装检测系统,每个系统都有维护和升级的任务,安装和维护需要一笔不小的费用。

  • 存在被关闭的可能:由于基于主机的入侵检测系统安装在被检测的主机上,因此有权限的用户或攻击者可以关闭检测程序以使自己的行为在系统中没有记录,进而来逃避检测。

  • 存在数据欺骗问题:攻击者或有权限的用户可以插入、修改或删除审计记录,逃避基于主机的入侵检测系统的检测。

  • 实时性较差:基于主机的入侵检测系统进行的多是事后检测,因此,当发现入侵时,系统多数已经遭到了破坏。

HIDS的优点如下:

  • 能够监视特定的系统行为。基于主机的IDS能够监视所有的用户登录和退出,甚至用户所做的所有操作,日志里记录的审计系统策略的改变,关键系统文件和可执行文件的改变等。

  • HIDS能够确定攻击是否成功。由于使用含有已经发生事件的信息,它们可以比网络入侵检测系统更加准确地判断攻击是否成功。

  • 有些攻击在网络数据中很难发现,或者根本没有通过网络而在本地进行。这时网络入侵检测系统将无能为力,只能借助HIDS。