作為為網(wǎng)絡(luò)防火墻之后的又一大安全產(chǎn)品，入侵檢測系統(tǒng)（IDS）已然成為了網(wǎng)絡(luò)安全這個餐桌上的一道名菜。入侵檢測系統(tǒng)又可以細(xì)分為網(wǎng)絡(luò)入侵檢測系統(tǒng)以及主機(jī)入侵檢測系統(tǒng)。那么在應(yīng)用中應(yīng)該如何選擇使用他們呢？在后邊的文章中，將選擇主機(jī)入侵檢測系統(tǒng)為您分析其利于弊。

主機(jī)入侵檢測系統(tǒng)（HIDS）通常是安裝在被重點(diǎn)檢測的主機(jī)之上，主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計(jì)規(guī)律），入侵檢測系統(tǒng)就會采取相應(yīng)措施。

主機(jī)入侵檢測使用驗(yàn)證記錄，并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)。通常，主機(jī)入侵檢測可監(jiān)探系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報(bào)警并向別的目標(biāo)報(bào)告，以采取措施。

主機(jī)入侵檢測在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。最后，許多系統(tǒng)都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報(bào)警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到主機(jī)入侵檢測環(huán)境中。

盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點(diǎn)。這些優(yōu)點(diǎn)包括：更好的辨識分析、對特殊主機(jī)事件的緊密關(guān)注及低廉的成本。

主機(jī)入侵檢測系統(tǒng)包括：

（1）確定攻擊是否成功。由于基于主機(jī)入侵檢測使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。在這方面，主機(jī)入侵檢測是基于網(wǎng)絡(luò)的IDS完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否。

（2）監(jiān)視特定的系統(tǒng)活動。主機(jī)入侵檢測監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件權(quán)限，試圖建立新的可執(zhí)行文件并且／或者試圖訪問特殊的設(shè)備。例如，基于主機(jī)入侵檢測可以監(jiān)督所有用戶的登錄及下網(wǎng)情況，以及每位用戶在聯(lián)結(jié)到網(wǎng)絡(luò)以后的行為。對于基于網(wǎng)絡(luò)的系統(tǒng)經(jīng)要做到這個程度是非常困難的。主機(jī)入侵檢測技術(shù)還可監(jiān)視只有管理員才能實(shí)施的非正常行為。操作系統(tǒng)記錄了任何有關(guān)用戶帳號的增加，刪除、更改的情況，只要改動一且發(fā)生，主機(jī)入侵檢測就能檢察測到這種不適當(dāng)?shù)母膭?。主機(jī)入侵檢測還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。主機(jī)入侵檢測系統(tǒng)可以監(jiān)視主要系統(tǒng)文件和可執(zhí)行文件的改變。系統(tǒng)能夠查出那些欲改寫重要系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。而基于網(wǎng)絡(luò)的系統(tǒng)有時會查不到這些行為。

（3）能夠檢查到基于網(wǎng)絡(luò)的系統(tǒng)檢查不出的攻擊。主機(jī)入侵檢測系統(tǒng)可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺不到的攻擊。例如，來自主要服務(wù)器鍵盤的攻擊不經(jīng)過網(wǎng)絡(luò)，所以可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

（4）適用被加密的和交換的環(huán)境。交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)部件加以管理，所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。業(yè)務(wù)映射和交換機(jī)上的管理端口有助于此，但這些技術(shù)有時并不適用。主機(jī)入侵檢測入侵檢測系統(tǒng)可安裝在所需的重要主機(jī)上，在交換的環(huán)境中具有更高的能見度。某些加密方式也向基于網(wǎng)絡(luò)的入侵檢測發(fā)出了挑戰(zhàn)。由于加密方式位于協(xié)議堆棧內(nèi)，所以基于網(wǎng)絡(luò)的系統(tǒng)可能對某些攻擊沒有反應(yīng)，主機(jī)入侵檢測沒有這方面的限制，當(dāng)操作系統(tǒng)及主機(jī)入侵檢測系統(tǒng)看到即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了。

（5）近于實(shí)時的檢測和響應(yīng)。盡管主機(jī)入侵檢測系統(tǒng)不能提供真正實(shí)時的反應(yīng)，但如果應(yīng)用正確，反應(yīng)速度可以非常接近實(shí)時。老式系統(tǒng)利用一個進(jìn)程在預(yù)先定義的間隔內(nèi)檢查登記文件的狀態(tài)和內(nèi)容，與老式系統(tǒng)不同，當(dāng)前主機(jī)入侵檢測系統(tǒng)的中斷指令，這種新的記錄可被立即處理，顯著減少了從攻擊驗(yàn)證到作出響應(yīng)的時間，在從操作系統(tǒng)作出記錄到主機(jī)入侵檢測系統(tǒng)得到辨識結(jié)果之間的這段時間是一段延遲，但大多數(shù)情況下，在破壞發(fā)生之前，系統(tǒng)就能發(fā)現(xiàn)入侵者，并中止他的攻擊。

（6）不要求額外的硬件設(shè)備。主機(jī)入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件服務(wù)器，Web服務(wù)器及其它共享資源。這些使得主機(jī)入侵檢測系統(tǒng)效率很高。因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記，維護(hù)及管理的硬件設(shè)備。

（7）記錄花費(fèi)更加低廉?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)比主機(jī)入侵檢測系統(tǒng)要昂貴的多。

主機(jī)入侵檢測系統(tǒng)有如下的弱點(diǎn):

（1）主機(jī)入侵檢測系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上，如當(dāng)一個數(shù)據(jù)庫服務(wù)器要保護(hù)時，就要在服務(wù)器本身上安裝入侵檢測系統(tǒng)。這會降低應(yīng)用系統(tǒng)的效率。此外，它也會帶來一些額外的安全問題，安裝了主機(jī)入侵檢測系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。

（2）主機(jī)入侵檢測系統(tǒng)依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必需重新配置，這將會給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。

（3）全面布署主機(jī)入侵檢測系統(tǒng)代價較大，企業(yè)中很難將所有主機(jī)用主機(jī)入侵檢測系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。

（4）主機(jī)入侵檢測系統(tǒng)除了監(jiān)測自身的主機(jī)以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況。對入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加。

基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測都有其優(yōu)勢和劣勢，兩種方法互為補(bǔ)充。一種真正有效的入侵檢測系統(tǒng)應(yīng)將二者結(jié)合。
 

【編輯推薦】

1. snort入侵檢測簡介及常用軟件
2. 零距離接觸入侵防御IPS系統(tǒng)
3. 正確區(qū)分入侵檢測IDS與入侵防御IPS
4. 升級OR替代？IPS系統(tǒng)與IDS系統(tǒng)
5. 假想案例談?wù)揑PS系統(tǒng)部署