计算机入侵检测系统.pptVIP

基于主机的IDS的优点 能够确定攻击是否成功 非常适合于加密和交换环境 不需要额外的硬件 可监视特定的系统行为 可监视关键系统文件和可执行文件的更改 可针对不同系统的特点判断出应用层入侵事件 基于主机的IDS（2） 基于主机的IDS的不足 一定程度上依赖于系统可靠性，要求系统本身应具备基本安全功能和合理设置，才能提取入侵信息 入侵者可能将日志抹去 日志信息有限 数据提取的实时性、充分性和可靠性方面不如基于网络的IDS 对基于网络的攻击不敏感，如假冒IP 与OS和应用层入侵事件结合过于紧密，通用性差 基于主机的IDS（3） 基于网络入侵检测系统的优点 内网 Internet 攻击者转移证据更难 实时检测和应答 能检测到未成功的攻击企图 操作系统无关性 较低成本 基于网络的IDS 基于网络的IDS的不足 只能监视通过本网段的活动 容易受到DDoS攻击 精度不高 不适合加密环境 基于网络的IDS（2） 一款基于网络入侵检测系统SessionWall(CA) 实例 开放源码软件 内网 Internet Snort、Bro入侵检测软件等，其中Snort 的社区()非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品 实例2 Snort 实例3(基于网络的IDS) 主界面里显示的信息包括： 触发安全规则的网络流量中各种协议所占的比例 警报的数量 入侵主机 目标主机