2018通信互联网技术考试知识点归纳：入侵检测系统类型

       >>>>点击进入全国通信专业技术人员水平考试报名时间及成绩查询专题

       2018年通信互联网技术考试备考在即，为了帮助考生们更好地复习，下面是小编为大家整理的2018年通信设备环境考试知识点归纳：入侵检测系统类型，希望能帮助大家。想了解更多相关资讯请关注希赛网。  

       从技术上看，基本上分为以下几类：基于网络和基于主机的入侵检测系统。混合入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。有时候，文件的完整性检査工具也可看做是一类入侵检测产品。

       1、基于主机的入侵检测

       基于主机的入侵检测系统（HIDS〉通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律)，入侵检测系统就会采取相应措施。

       (1)优点

       HIDS对分析“可能的攻击行为”非常有用。它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者做了什么事，运行了什么程序，打开了哪些文件，执行了哪些系统调用。HIDS与NIDS相比通常能够提供更详尽的相关信息。

       因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多，所以在通常情况下HIDS比N1DS误报率要低。

       HIDS可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。

       (2)缺点

       HIDS安装在霈要保护的设备上，这会降低应用系统的效率，也会带来一些额外的安全问题。HIDS依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置。HIDS只监测自身的主机，不监测网络上的情况。

       2、基于网络的入侵检测

       基于网络的入侵检测系统（NIDS)放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与内置的某些规则吻合，入侵检测系统就会发出聱报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。典型的网络入侵检测系统有Snort、NFR,Shadow等。

       (1)优点

       NIDS能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。

       一个N1DS不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

       由于NIDS不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。NIDS发生故障不会影响正常业务的运行。部署一个NIDS的风险比主机入侵检测系统的风险少得多。

       NIDS近年内有向专门的设备发展的趋势，安装这样的一个NIDS非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

       (2)缺点

       NIDS只检査它直接连接网段的通信，不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台NIDS的传感器会使部署整个系统的成本大大增加。

       NIDS为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

       NIDS可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生大量的分析数据流景。一些系统在实现时采用一定方法来减少回传的数据撒，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中的传感器协同工作能力较弱。

       NIDS处理加密的会话过程较困难，目前通过加密通道的攻击还不多，但随着IPv6的普及，这个问题会越来越突出。

       3、混合入侵检测

       基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。如果这两类产品能够无缝结合起来部署在网络内.则会构架成一套完整立体的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。

       希赛至今已有9年的通信培训经验，拥有多名经验丰富的全职教师，希赛开设的通信互联网技术网络课堂课堂晚上和周末上课，错过直播或没听懂还有录播视频可以反复学习和理解，助您工作之余也能轻松备考。