入侵放火墙

网络安全理论与技术网络安全理论与技术西安电子科技大学通信工程学院信息工程系1入侵检测系统Intranet攻击者IDSAgentFirewallrouter发现攻击报警IDSAgentDMZ监控中心发现攻击发现攻击报警IDSAgent发现攻击报警Servers报警2入侵检测计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability).
人们在实现这些目标的过程中不断进行着探索和研究.
其中比较突出的技术有:身份认证与识别、访问控制机制、加密技术、防火墙技术等.
但是这些技术的一制机制、加密技术、防火墙技术等.
但是这些技术的一个共同特征就是集中在系统的自身加固和防护上,属于静态的安全防御技术,它对于网络环境下日新月异的攻静态的安全防御技术,它对于网络环境下日新月异的攻击手段缺乏主动的反应.
针对日益严重的网络安全问题和越来越突出的安全针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生.
典型的就是P2DR模型(如下图所示).
3网络安全是相对的,没有网络安全是相对的,没有绝对的安全P2DR安全模型以安全策略为核心以安全策略为核心4P2DR安全模型这是一个动态模型以安全策略为核心以安全策略为核心基于时间的模型可以量化可以量化可以计算安全的核心问题检测P2DR安全的核心问题——检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是动态响应的依据检测是落实/强制执行安全策略的有力工具5入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理6入侵检测的特点个完善的入侵检测系统的特点一个完善的入侵检测系统的特点:经济性时效性安全性可扩展性7网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,缓慢攻击,新的攻击模式Scanner简单可操作,帮助系统管理员和安全服务人员解决实际并不能真正扫描漏洞员和安全服务人员解决实际问题保护公网上的内部通信可视为防火墙上的一个漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一8入侵检测的历史入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力包括安全审计、监视、进系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分.
是安全防御体系的一个重要组成部分.
入侵检测的诞生是网络安全需求发展的必然,它的出现给计算机安全领域研究注入了新的活力.
关于入侵检测的发展历史最早可追溯到1980年,当时JamesP.
Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想,这可谓是入侵录可用于检测计算机误用行为的思想,这可谓是入侵检测的开创性的先河.
另一位对入侵检测同样起着开创作用的人就是DorothyE.
Denning,他在1987年的一篇论文中提出了实时入侵检测系统模型,此模型成为篇论文中提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础.
9早期的入侵检测系统是基于主机的系统,它是通过监视和分析主机的审计记录来检测入侵的.
另外,入侵检测发展史上又一个具有重要意义的里程碑就是NSM(NetworkSecurityMonitor)的出现,它是由LToddHeberlien在1990年提出的.
NSM与此它是由L.
ToddHeberlien在1990年提出的.
NSM与此前的入侵检测系统相比,其最大的不同在于它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为.
量来跟踪可疑的入侵行为.
从此,入侵检测的研究和开发呈现一股热潮,而且多学科多领域之间知识的交互使得入侵检测的研究且多学科多领域之间知识的交互使得入侵检测的研究异彩纷呈.
本章我们将对入侵检测的基本理论进行介绍,为大家深入学习和研究起到抛砖引玉的作用.
10入侵检测(IDS:IntrusionDetectionSystem)攻击机制攻击工具目标系统系统漏洞攻击命令系统漏洞攻击过程目标网络网络漏洞攻击者IDS的用途11实时实时入侵检测检测漏洞扫描漏洞扫描加固加固第十三章入侵检测13.
1入侵检测概述13.
2入侵检测系统分类133入侵检测系统的分析方式13.
3入侵检测系统的分析方式13.
4入侵检测系统的设置入侵检测系统的设置13.
5入侵检测系统的部署136入侵检测系统的优点与局限性13.
6入侵检测系统的优点与局限性1213.
1.
1入侵检测的概念入侵检测就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应.
入侵检测系统的英文缩写是IDS(ItiDtti入侵检测系统的英文缩写是IDS(IntrusionDetectionSystem),它使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害.
从上述的定义可以看出,入侵检测的一般过程是:信息收集、信息(数据)预处理、数据的检测分析、根据信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应(如下图所示).
13入侵检测的一般过程安全策略数信息收集信息源数据预处检测模型检测结果响应处理收集源处理型果理一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问.
然而,有时简单的防火墙措施或者认证系统可能被攻破.
施或者认证系统可能被攻破.
入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制.
对于假冒身份的入侵者,入侵检访问进行警告的机制.
对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问.
14入侵检测入侵检测财务部DMZEmail市场部FtpHTTP研发部R告警!
Router恶意的攻攻击描述时间地址的地址攻击方法Internet恶意的攻击和扫描攻击描述时间源地址目的地址攻击方法www.
whitepaper.
com/index2002/11/2109:10192.
168.
32.
70192.
168.
32.
12IDS127-TELNET-oginIncorrec/gt入侵特征库15入侵检测系统基本上不具有访问控制的能力,它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员,通过对数据包流的分析,可以从数据流中过滤出可疑数据通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警.
网络管理员可以根据这些报以及入侵的类型并进行报警.
网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施.
可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性.
入侵检测系统可以在攻击的前期准备时期或是在攻击入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报.
同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据支持.
这就是入侵检测系统的预警功能.
供证据支持.
这就是入侵检测系统的预警功能.
16入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响.
说是透明的,不会有任何的影响.
入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何一种攻击.
但它是整个网络安全也不能独立地防止任何一种攻击.
但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任何已知的入侵.
何已知的入侵.
可以说,它是对其他安全系统有力的补充,弥补了防火墙在高层上的不足.
通过对入侵检测系统所发出警防火墙在高层上的不足.
通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而带来的损失.
低因攻击而带来的损失.
17网络安全新定义-------及时的检测和处理防火墙与IDS联动PtPt--防护时间防护时间时间时间DtDt--检测时间检测时间RtRt--响应时间响应时间PtPt--防护时间防护时间>>++18一个黑客在到达攻击目标之前需要攻破很多的设备(路由器,交换机)、系统(NT,UNIX)和放火墙的障碍,在黑客达到目标之前的时间,我们称之为防护时间Pt;在黑客攻击过程中,我们检测到他的活动的所用时间在黑客攻击过程中,我们检测到他的活动的所用时间称之为Dt,检测到黑客的行为后,我们需要作出响应,这段时间称之为Rt假如能做到Dt+Rt假如能做到Dt+Rt1913.
1.
2入侵检测系统的基本结构CIDF(CommonIntrusionDetectionFramework,网址http://www.
gidos.
org/)阐述了一个入侵检测系统的通用模型.
如下图所示.
将入侵检测系统需要分析如下图所示.
CIDF将入侵检测系统需要分析的数据统称为事件(event),事件可以是网络中的数据包,也可以是从系统日志等其他途径得到的数据包,也可以是从系统日志等其他途径得到的信息.
它将入侵检测系统分为以下组件.
20CIDF模型21(1)事件产生器(EventGenerators)事件产生器采集和监视被保护系统的数据,这些事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息.
并且将这个数据进行保存,一般是保存到数据库中.
般是保存到数据库中.
(2)事件分析器(EventAnalyzers)事件分析器的功能主要分为两个方面事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;响应单元做出入侵防范;一是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析.
22(3)响应单元(ResponseUnits)响应单元是协同事件分析器工作的重要组成部分,一响应单元是协同事件分析器工作的重要组成部分,一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏.
(4)事件数据库(EventDatabases)事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查.
分析与检查.
23简化的入侵检测系统CIDF模型响应单元事件分析器事件数据库事件分析器事件数据库事件产生器原始数据源24CIDF模型将入侵检测系统(IDS)需要分析的数据统称为事件(Event),它可以是网络中的数据包,也可以是从系统日志等审计记录途径得到的信息.
系统日志等审计记录途径得到的信息.
各功能单元间的数据交换采用的是CISL语言.
上图是入侵检测系统的一个简化模型,它给出了入上图是入侵检测系统的一个简化模型,它给出了入侵检测系统的一个基本框架.
一般地,入侵检测系统由这些功能模块组成.
这些功能模块组成.
在具体实现上,由于各种网络环境的差异以及安全需求的不同,因而在实际的结构上就存在一定程度的差别.
下图是互联网工程任务组()提出的对C模型别.
下图是互联网工程任务组(IETF)提出的对CIDF模型的一个更详细的描述.
25IETF的入侵检测模型实例探测器通知告警事件活动探测器数据源分析器管理器操作员件动探测器安全策略响应管理员26第十三章入侵检测13.
1入侵检测概述13.
2入侵检测系统分类133入侵检测系统的分析方式13.
3入侵检测系统的分析方式13.
4入侵检测系统的设置入侵检测系统的设置13.
5入侵检测系统的部署136入侵检测系统的优点与局限性13.
6入侵检测系统的优点与局限性27入侵检测系统的种类由于入侵检测是个典型的数据处理过程,因而数据采集是其首当其冲的第一步.
同时,针对不同的数据类采集是其首当其冲的第一步.
同时,针对不同的数据类型,所采用的分析机理也是不一样的.
根据入侵检测系统输入数据的来源来看,它可分为:基于主机的入侵检测系统和基于网络的入侵检测系统.
基于主机的入侵检测系统和基于网络的入侵检测系统.
除此之外,还有基于内核的高性能入侵检测系统和两大类相结合的入侵检测系统,这些类别是两个主要类两大类相结合的入侵检测系统,这些类别是两个主要类别的引申和综合.
28基于主机安全操作系统必须具备一定的审计功能,并记录相应安全操作系统必须具备一定的审计功能,并记录相应的安全性日志基于网络可以放在防火墙或者网关的后面,以网络嗅探器IDS可以放在防火墙或者网关的后面,以网络嗅探器的形式捕获所有的对内对外的数据包基于内核基于内核从操作系统的内核接收数据,比如LIDS基于应用从正在运行的应用程序中收集数据291.
基于主机的(Host-Based)入侵检测系统基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源.
志、应用程序日志等审计记录文件作为数据源.
它是通过比较这些审计记录文件的记录与攻击签名(AttkSit,指用一种特定的方式来表示已签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配.
如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行测系统就向系统管理员发出入侵报警并采取相应的行动.
基于主机的IDS可以精确地判断入侵事件,并可基于主机的可以精确地判断入侵事件,并可对入侵事件作出立即反应.
它还可针对不同操作系统的特点判断出应用层的入侵事件.
30审计记录目标系统由于审计数据是收集系统用审计记录审计记录收集方法据是收集系统用户行为信息的主要方法,因而必须保证系统的审审计记录预处理须保证系统的审计数据不被修改.
但是,当系统遭到攻击时,这些异常检测误用检测到攻击时,这些数据很可能被修改.
这就要求基于主机的入侵检安全管理接口审计记录数据归档/查询于主机的入侵检测系统必须满足一个重要的实时性条件:检测系归档/查询性条件:检测系统必须在攻击者完全控制系统并更改审计数据之审计记录数据库更改审计数据之前完成对审计数据的分析、产生报警并采取相应的措施.
基于主机的入侵检测系统结构示意图的措施.
31按照检测对象不同,基于主机的(Host-Based)入侵检测系统可分为两类:⑴网络连接检测:主要是对试图进入该主机的数据流进行检测,分析主要是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害.
机系统后造成损害.
⑵主机文件文件检测:①系统日志②文件系统②文件系统③进程记录32早期的入侵检测系统大多都是基于主机的IDS,作为入侵检测系统的一大重要类型,它具有着明显的优点:1)能够确定攻击是否成功由于基于主机的IDS使用包含有确实已经发生的事件由于基于主机的IDS使用包含有确实已经发生的事件信息的日志文件作为数据源,因而比基于网络的IDS更能准确地判断出攻击是否成功.
在这一点上,基于主机的可谓是基于网络的的完美补充.
机的IDS可谓是基于网络的IDS的完美补充.
2)非常适合于加密和交换环境由于基于网络的IDS是以网络数据包作为数据源,因由于基于网络的IDS是以网络数据包作为数据源,因而对于加密环境来讲,它是无能为力的,但对于基于主机的IDS就不同了,因为所有的加密数据在到达主机主机的S就不同了,因为所有的加密数据在到达主机之前必须被解密,这样才能被操作系统所解析.
对于交换网络来讲,基于网络的IDS在获取网络流量上面临着很大的挑战,但基于主机的IDS就没有这方面的限制.
着很大的挑战,但基于主机的IDS就没有这方面的限制.
333)近实时的检测和响应基于主机的IDS不能提供真正的实时响应,但是由基于主机的S不能提供真正的实时响应,但是由于现有的基于主机的IDS大多采取的是在日志文件形成的同时获取审计数据信息,因而就为近实时的检测和响应提供了可能.
和响应提供了可能.
4)不需要额外的硬件基于主机的IDS是驻留在现有的网络基础设施之上基于主机的IDS是驻留在现有的网络基础设施之上的,包括文件服务器、Web服务器和其它的共享资源等,这样就减少了基于主机的IDS的实施成本.
因为不再需要增加新的硬件,所以也就减少了以后维护和不再需要增加新的硬件,所以也就减少了以后维护和管理这些硬件设备的负担.
345)可监视特定的系统行为基于主机的IDS可以监视用户和文件的访问活动,这基于主机的IDS可以监视用户和文件的访问活动,这包括文件访问、文件权限的改变、试图建立新的可执行文件和试图访问特权服务等.
例如,基于主机的IDS可以监视所有的用户登录及注销情况,以及每个用户连接到网络以后的行为.
而基于网络的IDS就很难做到这一点.
基于主机的IDS还可以监视通常只有管理员才能实点.
基于主机的IDS还可以监视通常只有管理员才能实施的行为,因为操作系统记录了任何有关用户账号的添加、删除、更改的情况,一旦发生了更改,基于主机的加、删除、更改的情况,一旦发生了更改,基于主机的IDS就能检测到这种不适当的更改.
基于主机的IDS还可以跟踪影响系统日志记录的策略的变化.
35最后,基于主机的IDS可以监视关键系统文件和可执行文件的更改.
试图对关键的系统文件进行覆盖可执行文件的更改.
试图对关键的系统文件进行覆盖或试图安装特洛伊木马或后门程序的操作都可被检测出并被终止,而基于网络的IDS有时就做不到这一点.
除了上述的优点外,基于主机的IDS也存在一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作系统必须开发出不同的应用程序,另针对不同的操作系统必须开发出不同的应用程序,另外,所需配置的IDS数量众多.
但是对系统内在的结构没有任何的约束,同时可以利用操作系统本身提供构没有任何的约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确地报告攻击行为.
36基于主机的入侵检测系统具有以下优点:检测准确度较高;可以检测到没有明显行为特征的入侵;能够对不同的操作系统进行有针对性的检测;能够对不同的操作系统进行有针对性的检测;成本较低;不会因网络流量影响性能;不会因网络流量影响性能;适于加密和交换环境.
37基于主机的入侵检测系统具有以下不足:实时性较差;无法检测数据包的全部;无法检测数据包的全部;检测效果取决于日志系统;占用主机资源;占用主机资源;隐蔽性较差;如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用.
382.
基于网络的(Network-Based)入侵检测系统基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源.
据包作为数据源.
它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的.
其攻击识别模块在进络进行传输的所有通信业务的.
其攻击识别模块在进行攻击签名识别时常用的技术有:模式、表达式或字节码的匹配;z模式、表达式或字节码的匹配;z频率或阈值的比较;事件相关性处理;z事件相关性处理;z异常统计检测.
39管理/配置分析结果网络安全数据库入侵分析引擎器嗅探器嗅探器嗅探器嗅探器网络接口基于网络的入侵检测系统模型40一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应.
基于网络的IDS可以执行以下任务:1)检测端口扫描.
2)检测常见的攻击行为.
3)识别各种各样可能的IP欺骗攻击.
4)当检测到一个不希望的活动时,基于网络的)当检测到一个不希望的活动时,基于网络的IDS将采取包括干涉入侵者发来的通信,或重新配置附近的防火墙策略以封锁从入侵者的计算机或网络发来的所有通信.
算机或网络发来的所有通信.
411)攻击者转移证据更困难基于网络的IDS使用正在发生的网络通信进行基于网络的IDS使用正在发生的网络通信进行实时攻击的检测,因此攻击者无法转移证据,被检测系统捕获到的数据不仅包括攻击方法,而且包括对识别和指控入侵者十分有用的信息.
由于很多黑客对审计日志很了解,因而他们知道怎样更改这些文件以藏匿他们的入侵踪迹,而基道怎样更改这些文件以藏匿他们的入侵踪迹,而基于主机的IDS往往需要这些原始的未被修改的信息来进行检测,在这一点上,基于网络的IDS有着明来进行检测,在这一点上,基于网络的IDS有着明显的优势.
422)实时检测和应答一旦发生恶意的访问或攻击,基于网络的IDS可一旦发生恶意的访问或攻击,基于网络的IDS可以随时发现它们,以便能够更快地作出反应.
这种实时性使得系统可以根据预先的设置迅速采取相应的行动,从而将入侵行为对系统的破坏减到最低,而基于动,从而将入侵行为对系统的破坏减到最低,而基于主机的IDS只有在可疑的日志文件产生后才能判断攻击行为,这时往往对系统的破坏已经产生了.
击行为,这时往往对系统的破坏已经产生了.
3)操作系统无关性基于网络的IDS并不依赖主机的操作系统作为检测资源,这样就与主机的操作系统无关,而基于主机的系统需要依赖特定的操作系统才能发挥作用.
434)能够检测到未成功的攻击企图有些攻击行为是旨在针对防火墙后面的资源的攻有些攻击行为是旨在针对防火墙后面的资源的攻击(防火墙本身可能会拒绝这些攻击企图),利用放置在防火墙外的基于网络的IDS就可以检测到这种企图,而基于主机的IDS并不能发现未能到达受防火墙保护而基于主机的IDS并不能发现未能到达受防火墙保护的主机的攻击企图.
通常,这些信息对于评估和改进系统的安全策略是十分重要的.
系统的安全策略是十分重要的.
5)较低的成本基于网络的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信,因此,基于网络的IDS系统并不需要在各种各样的主机上进行安装,大大减少了安全和管理的复杂性,这样所需的成本费用大减少了安全和管理的复杂性,这样所需的成本费用也就相对较低.
44当然,对于基于网络的IDS来讲,同样有着一定的不足:它只能监视通过本网段的活动,并且精确度较差;在交换网络环境中难于配置;防欺骗的能力比较差,对于加密环境它就更是无能为力了.
力了.
基于网络的入侵检测系统具有以下优点:z可以提供实时的网络行为检测;z可以同时保护多台网络主机;具有良好的隐蔽性;z具有良好的隐蔽性;z有效保护入侵证据;不影响被保护主机的性能.
z不影响被保护主机的性能.
45基于网络的入侵检测系统具有以下不足:防入侵欺骗的能力通常较差;在交换式网络环境中难以配置;在交换式网络环境中难以配置;检测性能受硬件条件限制;不能处理加密后的数据.
不能处理加密后的数据.
46两类IDS监测软件网络IDS侦测速度快主机IDS视野集中侦测速度快隐蔽性好视野更宽视野集中易于用户自定义保护更加周密视野更宽较少的监测器占资源少保护更加周密对网络流量不敏感占资源少两种入侵检测系统的结合运用则能相互弥补不足,起到两种入侵检测系统的结合运用则能相互弥补不足,起到良好的检测效果.
473.
基于内核的入侵检测系统基于内核的入侵检测系统是一种较新的技术,近年来该技术开始流行起来,特别是在i系统上.
来该技术开始流行起来,特别是在Linux系统上.
在Linux系统上目前可用的基于内核的入侵检测系统主要有两种:OWll和LIDS.
统主要有两种:OpenWall和LIDS.
基于内核的入侵检测系统采取措施防止缓冲区溢出,增加文件系统的保护,封闭信号,从而使得入侵者破增加文件系统的保护,封闭信号,从而使得入侵者破坏系统变得越来越困难.
484.
分布式的入侵检测系统从以上对基于主机的IDS和基于网络的IDS的分析可以看出:这两者各自都有着自身独到的优势,析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补.
如果采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案.
弥补了各自的不足的一种优化设计方案.
通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息.
分布式的IDS将是今后人们研究的重点,它是分布式的将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策.
49