|
知识路径: > 网络安全 > 入侵检测系统 > IDS分类 > 基于数据源的分类 >
|
相关知识点:2个
|
|
|
|
基于网络的IDS搜集来自网络层的信息,监视网络数据流。通常来说,网络适配器可以工作在两种不同的模式:正常模式和混杂模式。处于正常模式时,网络适配器只能接收到共享网络中发向本机的数据包,丢弃其他目标主机的数据包;处于混杂模式时,网络适配器可以接收所有在网络中传输的数据包,并交给操作系统或应用程序进行分析。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。网络IDS目前应用比较广泛,包括商业化的IDS产品,如ISS公司的RealSecure、CA公司的Etrust以及开源系统Snort等。
|
|
|
从下图可以看出,基于网络IDS位于客户端与服务端的通信链路中央,可以访问到通信链路的所有层次。因此这种IDS可以监视和检测网络层的攻击(如SYN洪流攻击)。
|
|
|
|
|
从理论上来说,网络监视可以获得所有的网络信息数据,在没有特定的审计或日志机制的情况下,也可以获得数据;只要时间允许,可以在庞大的数据堆中提取和分析需要的数据;可以对一个子网进行检测,一个监视模块可以监视同一网段的多台主机的网络行为;可以通过增加代理来监视网络,不会影响现存的数据源,不改变系统和网络的工作模式,也不影响主机性能和网络性能;处于被动接收方式,很难被入侵者发现,隐蔽性好;可以从底层开始分析,对基于协议攻击的入侵手段有较强的分析能力。
|
|
|
基于网络的IDS的主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确的判断;如果网络数据被加密,IDS就不能扫描协议或内容。
|
|
|
就如防盗系统一样,基于网络的IDS系统通常放置于企业内部网与外部网的访问出口上(如路由器、Modem池),能够监控从协议攻击到特定环境攻击的范围很广的网络攻击行为,对于监控网络外部用户的入侵和侦察行为非常理想。基于主机的IDS适合于那些以数据或应用服务器为中心的网络系统,并对那些已取得系统访问权限的用户对系统的操作进行监控。究竟是在哪个层次上部署IDS需要根据使用者自身的安全策略来决定。
|
|
|