2018通信互聯(lián)網(wǎng)技術(shù)考試知識點歸納：入侵檢測系統(tǒng)類型

       >>>>點擊進入全國通信專業(yè)技術(shù)人員水平考試報名時間及成績查詢專題

       2018年通信互聯(lián)網(wǎng)技術(shù)考試備考在即，為了幫助考生們更好地復(fù)習(xí)，下面是小編為大家整理的2018年通信設(shè)備環(huán)境考試知識點歸納：入侵檢測系統(tǒng)類型，希望能幫助大家。想了解更多相關(guān)資訊請關(guān)注希賽網(wǎng)。  

       從技術(shù)上看，基本上分為以下幾類：基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)。混合入侵檢測系統(tǒng)可以彌補一些基于網(wǎng)絡(luò)與基于主機的片面性缺陷。有時候，文件的完整性檢査工具也可看做是一類入侵檢測產(chǎn)品。

       1、基于主機的入侵檢測

       基于主機的入侵檢測系統(tǒng)（HIDS〉通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應(yīng)措施。

       (1)優(yōu)點

       HIDS對分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者做了什么事，運行了什么程序，打開了哪些文件，執(zhí)行了哪些系統(tǒng)調(diào)用。HIDS與NIDS相比通常能夠提供更詳盡的相關(guān)信息。

       因為檢測在主機上運行的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，所以在通常情況下HIDS比N1DS誤報率要低。

       HIDS可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。

       (2)缺點

       HIDS安裝在霈要保護的設(shè)備上，這會降低應(yīng)用系統(tǒng)的效率，也會帶來一些額外的安全問題。HIDS依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必須重新配置。HIDS只監(jiān)測自身的主機，不監(jiān)測網(wǎng)絡(luò)上的情況。

       2、基于網(wǎng)絡(luò)的入侵檢測

       基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出聱報甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的。典型的網(wǎng)絡(luò)入侵檢測系統(tǒng)有Snort、NFR,Shadow等。

       (1)優(yōu)點

       NIDS能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超過授權(quán)的非法訪問。

       一個N1DS不需要改變服務(wù)器等主機的配置。由于它不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務(wù)系統(tǒng)的性能。

       由于NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會成為系統(tǒng)中的關(guān)鍵路徑。NIDS發(fā)生故障不會影響正常業(yè)務(wù)的運行。部署一個NIDS的風(fēng)險比主機入侵檢測系統(tǒng)的風(fēng)險少得多。

       NIDS近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢，安裝這樣的一個NIDS非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。

       (2)缺點

       NIDS只檢査它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺NIDS的傳感器會使部署整個系統(tǒng)的成本大大增加。

       NIDS為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。

       NIDS可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流景。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數(shù)據(jù)撒，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。

       NIDS處理加密的會話過程較困難，目前通過加密通道的攻擊還不多，但隨著IPv6的普及，這個問題會越來越突出。

       3、混合入侵檢測

       基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi).則會構(gòu)架成一套完整立體的主動防御體系，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

       希賽至今已有9年的通信培訓(xùn)經(jīng)驗，擁有多名經(jīng)驗豐富的全職教師，希賽開設(shè)的通信互聯(lián)網(wǎng)技術(shù)網(wǎng)絡(luò)課堂課堂晚上和周末上課，錯過直播或沒聽懂還有錄播視頻可以反復(fù)學(xué)習(xí)和理解，助您工作之余也能輕松備考。