2018通信互聯(lián)網(wǎng)技術考試知識點歸納：入侵檢測系統(tǒng)類型

       >>>>點擊進入全國通信專業(yè)技術人員水平考試報名時間及成績查詢專題

       2018年通信互聯(lián)網(wǎng)技術考試備考在即，為了幫助考生們更好地復習，下面是小編為大家整理的2018年通信設備環(huán)境考試知識點歸納：入侵檢測系統(tǒng)類型，希望能幫助大家。想了解更多相關資訊請關注希賽網(wǎng)。  

       從技術上看，基本上分為以下幾類：基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)。混合入侵檢測系統(tǒng)可以彌補一些基于網(wǎng)絡與基于主機的片面性缺陷。有時候，文件的完整性檢査工具也可看做是一類入侵檢測產(chǎn)品。

       1、基于主機的入侵檢測

       基于主機的入侵檢測系統(tǒng)（HIDS〉通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。

       (1)優(yōu)點

       HIDS對分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者做了什么事，運行了什么程序，打開了哪些文件，執(zhí)行了哪些系統(tǒng)調(diào)用。HIDS與NIDS相比通常能夠提供更詳盡的相關信息。

       因為檢測在主機上運行的命令序列比檢測網(wǎng)絡流更簡單，系統(tǒng)的復雜性也少得多，所以在通常情況下HIDS比N1DS誤報率要低。

       HIDS可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。

       (2)缺點

       HIDS安裝在霈要保護的設備上，這會降低應用系統(tǒng)的效率，也會帶來一些額外的安全問題。HIDS依賴于服務器固有的日志與監(jiān)視能力。如果服務器沒有配置日志功能，則必須重新配置。HIDS只監(jiān)測自身的主機，不監(jiān)測網(wǎng)絡上的情況。

       2、基于網(wǎng)絡的入侵檢測

       基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出聱報甚至直接切斷網(wǎng)絡連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡的。典型的網(wǎng)絡入侵檢測系統(tǒng)有Snort、NFR,Shadow等。

       (1)優(yōu)點

       NIDS能夠檢測那些來自網(wǎng)絡的攻擊，它能夠檢測到超過授權(quán)的非法訪問。

       一個N1DS不需要改變服務器等主機的配置。由于它不會在業(yè)務系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務系統(tǒng)的性能。

       由于NIDS不像路由器、防火墻等關鍵設備方式工作，它不會成為系統(tǒng)中的關鍵路徑。NIDS發(fā)生故障不會影響正常業(yè)務的運行。部署一個NIDS的風險比主機入侵檢測系統(tǒng)的風險少得多。

       NIDS近年內(nèi)有向?qū)ｉT的設備發(fā)展的趨勢，安裝這樣的一個NIDS非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網(wǎng)絡上即可。

       (2)缺點

       NIDS只檢査它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺NIDS的傳感器會使部署整個系統(tǒng)的成本大大增加。

       NIDS為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復雜的需要大量計算與分析時間的攻擊檢測。

       NIDS可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流景。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數(shù)據(jù)撒，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。

       NIDS處理加密的會話過程較困難，目前通過加密通道的攻擊還不多，但隨著IPv6的普及，這個問題會越來越突出。

       3、混合入侵檢測

       基于網(wǎng)絡的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡內(nèi).則會構(gòu)架成一套完整立體的主動防御體系，既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

       希賽至今已有9年的通信培訓經(jīng)驗，擁有多名經(jīng)驗豐富的全職教師，希賽開設的通信互聯(lián)網(wǎng)技術網(wǎng)絡課堂課堂晚上和周末上課，錯過直播或沒聽懂還有錄播視頻可以反復學習和理解，助您工作之余也能輕松備考。