第8章 入侵检测系统（IDS）及应用 网络维护与安全技术教程与实训电子教案.ppt

5、入侵检测系统的分类 根据其监测的对象分类 1、基于主机的入侵检测系统 2、基于网络的入侵检测系统 3、分布式入侵检测系统 根据检测使用的分析方法分 1、异常入侵检测型 2、误用入侵检测型 根据IDS的体系结构分 1、集中式入侵检测系统（简称CIDS） 2、分布式入侵检测系统（简称DIDS） 根据其监测的对象分类： （1）基于主机的入侵检测系统：主机型入侵检测系统所监测的是系统日志、应用程序日志等数据源，对所在的主机收集信息进行分析，以判断是否有入侵行为。主机型入侵检测系统通常是用于保护关键应用的服务器。 （2）基于网络的入侵检测系统：基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，该系统通过在共享网段上对通信数据进行侦听，分析通过网络的所有通信业务，来检测入侵行为。 （3）分布式入侵检测系统 两类检测系统的比较 分布式入侵检测系统 分布式入侵检测系统是一种基于部件的入侵检测系统，具有良好的分布性和可扩展性。它将基于网络和基于主机的入侵检测系统有机地结合在一起，采用了基于通用硬件平台的分布式体系结构，通过单控制台、多检测器的方式对大规模网络的主干网信道进行入侵检测和宏观安全监测，提供集成化的检测、报告和响应功能，具有良好的可扩展性和灵活的可配置性。 分布式入侵检测系统检测的数据包也是来源于网络，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个监听设备