@Luminary
2年前 提问
1个回答
基于主机的入侵检测系统有哪些优点
Ann
2年前
基于主机的入侵检测系统可以看到主机上基于网络的入侵检测系统看不到的事件。基于主机的入侵检测系统有以下优点:
能够确定攻击是否成功:由于基于主机的IDS使用包含有确实已经发生的事件信息的日志文件作为数据源,因而比基于网络的IDS更能准确地判断出攻击是否成功。在这一点上,基于主机的IDS可谓是基于网络的IDS的完美补充。
近实时的检测和响应:基于主机的IDS不能提供真正的实时响应,但是由于现有的基于主机的IDS大多采取的是在日志文件形成的同时获取审计数据信息,因而就为近实时的检测和响应提供了可能。
不需要额外的硬件:基于主机的IDS是驻留在现有的网络基础设施之上的,包括文件服务器、Web服务器和其它的共享资源等,这样就减少了基于主机的IDS的实施成本。因为不再需要增加新的硬件,所以也就减少了以后维护和管理这些硬件设备的负担。
可监视特定的系统行为:基于主机的IDS可以监视用户和文件的访问活动,这包括文件访问、文件权限的改变、试图建立新的可执行文件和试图访问特权服务等。例如,基于主机的IDS可以监视所有的用户登录及注销情况,以及每个用户连接到网络以后的行为。
非常适合于加密和交换环境:由于基于网络的IDS是以网络数据包作为数据源,因而对于加密环境来讲,它是无能为力的,但对于基于主机的IDS就不同了,因为所有的加密数据在到达主机之前必须被解密,这样才能被操作系统所解析。对于交换网络来讲,基于网络的IDS在获取网络流量上面临着很大的挑战,但基于主机的IDS就没有这方面的限制。