HIDS的优点
1、能够监视特定的系统行为。基于主机的IDS能够监视所有的用户登录和退出,甚至用户所做的所有操作,日志里记录的审计系统策略的改变,关键系统文件和可执行文件的改变等。
2、HIDS能够确定攻击是否成功。由于使用含有已经发生事件的信息,它们可以比网络入侵检测系统更加准确地判断攻击是否成功。
3、有些攻击在网络数据中很难发现,或者根本没有通过网络而在本地进行。这时网络入侵检测系统将无能为力,只能借助HIDS。
缺点
1、HIDS安装在需要保护的设备上,这会降低应用系统的效率。它依赖于服务器固有的日志和监视能力,如果服务器没有配置日志功能,则必须重新配置。
2、全面部署HIDS的代价太大,维护升级不方便。日志分析器型IDS一般作为监控程序运行时实时地扫描日志文件。
系统驱动器分析器型IDS能扫描系统的硬盘驱动器和其他外部设备(可移动硬盘、磁带机、打印设备等)并创建数据库,数据库包含系统硬盘驱动器的原始条件记录。例如,每当驱动器分析器发生改变,它就能采取诸如记录改变或发送警报这样的措施。
NIDS的优点
1、能够检测那些来自网络的攻击和超过授权的非法访问。
2、不需要改变服务器等主机的配置,也不会影响主机性能。
3、风险低。由于网络入侵检测系统不像路由器、防火墙等关键设备那样会成为系统中的一个关键路径,所以网络入侵检测系统发生故障时不会影响正常业务的运行。
4、配置简单。网络入侵检测系统近年来有向专门设备发展的趋势,安装这样的一个网络入侵检测系统非常方便,只需将定制的设备接上电源,做很少一些配置,将其连到网络上即可。
不足
1、误/漏报率高。入侵检测系统(IDS)常用的检测方法有特征检测、异常检测、状态检测和协议分析等,这些检测方式都存在一定的缺陷。
2、没有主动防御能力。IDS技术采用了一种预置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
3、缺乏准确定位和处理机制。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。
4、性能普遍不足。市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片的情况下可能造成IDS的瘫痪或丢包,形成DoS攻击。
扩展资料
主机入侵检测系统(host—based IDS,HIDS)的检测目标主要是主机系统和本地用户。
检测原理:在每个需要保护的端系统(主机)上运行代理程序(agent),以主机的审计数据、系统日志、应用程序日志等为数据源,主要对主机的网络实时连接以及主机文件进行分析和判断,发现可疑事件并作出响应。
网络入侵检测系统(network intrusion detection system,NIDS),指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测的软件与硬件的组合。
参考资料来源:百度百科-主机入侵检测系统
参考资料来源:百度百科-网络入侵检测系统
HIDS全称是Host-based Intrusion Detection System,是基于主机型入侵检测系统的简称,他的作用原理是作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。Hids能对检测的入侵行为作出快速的响应,hids厂商可以去了解下青藤,他们家hids全方位监控,有实时入侵警告,可以有效的发现攻击入侵的行为,实时发现失陷的主机,可以极大的降低入侵的成功概率。百度也有很多相关信息。
