信息安全與管理

信息安全與管理1第一頁，共四十六頁，編輯于2023年，星期六1、入侵檢測的概念一、什么是入侵檢測入侵：任何企圖破壞資源的完整性、保密性和可用性的行為集合。入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。入侵檢測（IntrusionDetection）：對入侵行為的發(fā)覺，是一種試圖通過觀察行為、安全日志或?qū)徲嫈?shù)據(jù)來檢測入侵的技術(shù)入侵檢測系統(tǒng)（IDS）：入侵檢測的軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。2第二頁，共四十六頁，編輯于2023年，星期六1、入侵檢測的概念：模型一、什么是入侵檢測Denning的通用入侵檢測模型。模型缺點是它沒有包含已知系統(tǒng)漏洞或攻擊方法的知識3第三頁，共四十六頁，編輯于2023年，星期六1、入侵檢測的概念：模型一、什么是入侵檢測由六部分構(gòu)成：主體、對象、審計記錄、活動簡檔、異常記錄、活動規(guī)則。Denning模型基于的假設：由于襲擊者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識別襲擊者異常使用系統(tǒng)的模式，從而檢測出襲擊者違反系統(tǒng)安全性的情況。4第四頁，共四十六頁，編輯于2023年，星期六1、入侵檢測的概念：任務一、什么是入侵檢測

·監(jiān)視、分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作；·系統(tǒng)構(gòu)造和弱點的審計，并提示管理員修補漏洞；·識別反映已知進攻的活動模式并報警，能夠?qū)崟r對檢測到的入侵行為進行反應；·異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；·評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；·操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。5第五頁，共四十六頁，編輯于2023年，星期六1、入侵檢測的概念一、什么是入侵檢測傳統(tǒng)安全防范技術(shù)的不足傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡環(huán)境下日新月異的攻擊手段缺乏主動的反應。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應。6第六頁，共四十六頁，編輯于2023年，星期六2、入侵檢測的分類一、什么是入侵檢測根據(jù)所采用的技術(shù)可以分為：1）異常檢測：異常檢測的假設是入侵者活動異常于正常主體的活動，建立正?；顒拥摹盎顒雍啓n”，當前主體的活動違反其統(tǒng)計規(guī)律時，認為可能是“入侵”行為。2）特征檢測：特征檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。3）協(xié)議分析：利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。7第七頁，共四十六頁，編輯于2023年，星期六2、入侵檢測的分類一、什么是入侵檢測根據(jù)所監(jiān)測的對象來分：1）基于主機的入侵檢測系統(tǒng)（HIDS）：通過監(jiān)視與分析主機的審計記錄檢測入侵。能否及時采集到審計是這些系統(tǒng)的弱點之一，入侵者會將主機審計子系統(tǒng)作為攻擊目標以避開入侵檢測系統(tǒng)。2）基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）：通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機提供嚴格的審計，對主機資源消耗少，并可以提供對網(wǎng)絡通用的保護而無需顧及異構(gòu)主機的不同架構(gòu)。8第八頁，共四十六頁，編輯于2023年，星期六2、入侵檢測的分類一、什么是入侵檢測根據(jù)所監(jiān)測的對象來分：3）分布式入侵檢測系統(tǒng)：檢測的數(shù)據(jù)來源于網(wǎng)絡中的數(shù)據(jù)包，不同的是，采用分布式檢測、集中管理的方法。即在每個網(wǎng)段安裝一個黑匣子，該黑匣子相當于基于網(wǎng)絡的入侵檢測系統(tǒng)，只是沒有用戶操作界面。黑匣子用來檢測其所在網(wǎng)段上的數(shù)據(jù)流，根據(jù)集中安全管理中心制定的安全策略、響應規(guī)則等來分析檢測網(wǎng)絡數(shù)據(jù)，同時向集中安全管理中心發(fā)回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統(tǒng)面向用戶的界面。9第九頁，共四十六頁，編輯于2023年，星期六2、入侵檢測的分類一、什么是入侵檢測根據(jù)系統(tǒng)的工作方式分為：1）離線檢測系統(tǒng)：離線檢測系統(tǒng)是非實時工作的系統(tǒng)，在事后分析審計事件，從中檢查入侵活動。2）在線檢測系統(tǒng)：在線檢測系統(tǒng)是實時聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡數(shù)據(jù)包分析，實時主機審計分析。其工作過程是實時入侵檢測在網(wǎng)絡連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。10第十頁，共四十六頁，編輯于2023年，星期六3、信息收集一、什么是入侵檢測第一步是信息收集，包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在系統(tǒng)中的不同關(guān)鍵點（網(wǎng)段和主機）收集信息，因為從一個來源的信息有可能看不出疑點，但從幾個來源的信息的不一致性卻是可疑行為或入侵的最好標識。1.系統(tǒng)和網(wǎng)絡日志文件2.目錄和文件中的不期望的改變3.程序執(zhí)行中的不期望行為4.物理形式的入侵信息11第十一頁，共四十六頁，編輯于2023年，星期六4、信號分析一、什么是入侵檢測對收集到的上述四類信息，通過三種技術(shù)手段進行分析：模式匹配：用于實時的入侵檢測統(tǒng)計分析：用于實時的入侵檢測完整性分析：用于事后分析。12第十二頁，共四十六頁，編輯于2023年，星期六4、信號分析一、什么是入侵檢測1.模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。優(yōu)點：只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。缺點：需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。13第十三頁，共四十六頁，編輯于2023年，星期六4、信號分析一、什么是入侵檢測2.統(tǒng)計分析對系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，某帳戶突然在凌晨兩點試圖登錄。優(yōu)點：可檢測到未知的入侵和更為復雜的入侵缺點：誤報、漏報率高，不適應用戶正常行為的突然改變。統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法。14第十四頁，共四十六頁，編輯于2023年，星期六一、什么是入侵檢測3.完整性分析：利用消息摘要Hash函數(shù)計算完整性分析關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被木馬、病毒更改的應用程序方面特別有效。檢查系統(tǒng)保存有每個文件的數(shù)字摘要數(shù)據(jù)庫，通過重新計算文件的數(shù)字文摘并與數(shù)據(jù)庫中的值相比較來判斷文件是否被修改。優(yōu)點：攻克文件完整性檢查系統(tǒng)，無論是時間上還是空間上都是不可能的。配置靈活，可以有選擇地監(jiān)測重要文件。15第十五頁，共四十六頁，編輯于2023年，星期六文件完整性檢查的弱點：一般以批處理方式實現(xiàn)，不用于實時響應。該方法作為網(wǎng)絡安全的必要補充，定期運行。文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)庫。這些數(shù)據(jù)可能被入侵者修改。防范對策：將摘要數(shù)據(jù)庫放在只讀介質(zhì)上。文件完整性檢查非常耗時。系統(tǒng)正常的升級會帶來大量的文件更新。例如，WindowsNT系統(tǒng)中升級MS-Outlook將會帶來1800多個文件變化。一、什么是入侵檢測16第十六頁，共四十六頁，編輯于2023年，星期六1、技術(shù)分類二、入侵檢測技術(shù)分析入侵檢測技術(shù)分為：特征檢測、異常檢測、協(xié)議檢測。多數(shù)IDS以特征檢測為主，異常檢測為輔。1）特征檢測（誤用檢測、模式發(fā)現(xiàn)）假設入侵者活動可以用某種模式來表示，系統(tǒng)的目標是檢測主體活動是否與這些模式匹配。關(guān)鍵：入侵模式描述，區(qū)分入侵與正常行為。優(yōu)點：誤報少。局限：不能發(fā)現(xiàn)未知的攻擊。17第十七頁，共四十六頁，編輯于2023年，星期六1、技術(shù)分類二、入侵檢測技術(shù)分析2）異常檢測（異常發(fā)現(xiàn)）按照統(tǒng)計規(guī)律，建立主體正?；顒拥摹昂啓n”，若當前主體活動偏離“簡檔”相比較，則認為該活動可能是“入侵”行為。例：流量統(tǒng)計分析，將異常時間的異常網(wǎng)絡流量視為可疑。難點：建立“簡檔”；統(tǒng)計算法；異常閾值選擇。避免對入侵的誤判或漏判。局限性：“入侵”與“異?！辈⒎且灰粚?。而且系統(tǒng)的軌跡難于計算和更新。18第十八頁，共四十六頁，編輯于2023年，星期六1、技術(shù)分類二、入侵檢測技術(shù)分析2）協(xié)議分析技術(shù)協(xié)議分析提供一種高級的網(wǎng)路入侵解決方案，可以檢測更廣泛的攻擊，包括已知和未知的。協(xié)議分析可以在不同的上層應用協(xié)議上對每一個用戶命令作出詳細分析。優(yōu)點：當系統(tǒng)提升協(xié)議棧來解析每一層時，用已知的知識來消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊；能大大降低模式匹配IDS系統(tǒng)中的誤報率。19第十九頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析IDS常用的檢測方法:特征檢測、統(tǒng)計檢測與專家系統(tǒng)。據(jù)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告，國內(nèi)送檢的入侵檢測產(chǎn)品中95％是屬于使用入侵模板進行模式匹配的特征檢測產(chǎn)品，其他5％是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。20第二十頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析1）特征檢測：對攻擊方式作出確定性的描述事件模式。當被審計的事件與已知的入侵事件模式相匹配時報警。目前常用的是數(shù)據(jù)包特征模式匹配。準確率高，對付已知攻擊。2）統(tǒng)計檢測：常用于異常檢測。測量參數(shù)包括：審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的統(tǒng)計模型有：21第二十一頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析操作模型：測量結(jié)果與一些固定指標（經(jīng)驗值，統(tǒng)計值）相比較，例：在短時間內(nèi)的多次登錄失敗，可能是口令嘗試攻擊；概率模型：計算參數(shù)的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常；或者當概率很低的事件發(fā)生時，可能發(fā)生入侵。多元模式：操作模式的擴展，通過同時分析多個參數(shù)實現(xiàn)檢測。22第二十二頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析馬爾柯夫過程模式：將每種模式的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，若狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；時間序列分析：將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。23第二十三頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析這種入侵檢測的方法是基于對用戶歷史行為建模以及在早期的證據(jù)或建模的基礎(chǔ)上，審計系統(tǒng)實時的檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進行檢測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測、記錄該用戶行為。統(tǒng)計方法的優(yōu)點：可“學習”用戶的使用習慣，具有較高檢出率和可用率。24第二十四頁，共四十六頁，編輯于2023年，星期六2、常用檢測方法二、入侵檢測技術(shù)分析3）專家系統(tǒng)：根據(jù)專家對可疑行為的經(jīng)驗形成一套推理規(guī)則。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。25第二十五頁，共四十六頁，編輯于2023年，星期六3、入侵的發(fā)展趨勢二、入侵檢測技術(shù)分析多樣化與復雜化：采用多種手段，提高成功率。隱蔽化：掩蓋攻擊者身份和目的。欺騙性：間接攻擊；IP地址欺騙攻擊規(guī)模擴大：電子戰(zhàn)與信息戰(zhàn)。攻擊的分布化：DDoS在很短時間內(nèi)造成被攻擊主機的癱瘓，且在攻擊的初期不易被發(fā)覺。攻擊對象轉(zhuǎn)移：網(wǎng)絡網(wǎng)絡防護系統(tǒng)。26第二十六頁，共四十六頁，編輯于2023年，星期六4、存在的問題1）攻擊手段不斷更新，攻擊工具自動化。IDS必須不斷跟蹤最新的安全技術(shù)。2）惡意信息采用加密傳輸可能騙過網(wǎng)絡IDS。3）IDS要適應多樣化環(huán)境中不同的安全要求。4）不斷增大的網(wǎng)絡流量。數(shù)據(jù)實時分析導致對系統(tǒng)的要求越來越高。盡管如此，對百兆以上的流量，單一的入侵檢測系統(tǒng)系統(tǒng)仍很難應付。二、入侵檢測技術(shù)分析27第二十七頁，共四十六頁，編輯于2023年，星期六4、存在的問題5）缺乏統(tǒng)一的標志和概念框架。各自為戰(zhàn)，產(chǎn)品互通困難。6）采用不恰當?shù)淖詣臃磻斐傻娘L險。IDS可以與防火墻結(jié)合，當發(fā)現(xiàn)有攻擊行為時，過濾掉所有來自攻擊者的IP的數(shù)據(jù)。例：攻擊者假冒大量不同的IP進行模擬攻擊，而IDS自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊。二、入侵檢測技術(shù)分析28第二十八頁，共四十六頁，編輯于2023年，星期六4、存在的問題7）IDS自身的安全性：本身的安全漏洞。8)大量的誤報和漏報。原因：必須深入了解所有操作系統(tǒng)、網(wǎng)絡協(xié)議的運作情況和細節(jié)，才能準確的進行分析，而不同版本對協(xié)議處理都不同；而快速反應與力求全面也是矛盾。9)缺乏客觀的評估與測試信息。10)交換式局域網(wǎng)造成網(wǎng)絡數(shù)據(jù)流的可見性下降；同時高速網(wǎng)絡使數(shù)據(jù)的實時分析越發(fā)困難。二、入侵檢測技術(shù)分析29第二十九頁，共四十六頁，編輯于2023年，星期六5、入侵檢測技術(shù)發(fā)展方向二、入侵檢測技術(shù)分析分布式入侵檢測：兩層含義1）針對分布式網(wǎng)絡攻擊的檢測方法2）使用分布式的方法來檢測分布式的攻擊，關(guān)鍵技術(shù)為檢測信息的協(xié)同處理解決異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡的入侵檢測，發(fā)展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。30第三十頁，共四十六頁，編輯于2023年，星期六二、入侵檢測技術(shù)分析神經(jīng)網(wǎng)絡、遺傳算法、模糊技術(shù)、免疫原理等方法，用于入侵特征的辨識。利用專家系統(tǒng)，具有自學習能力，實現(xiàn)知識庫的不斷更新與擴展。應用智能體(Agent)技術(shù)進行入侵檢測。應該將常規(guī)高效的IDS與智能檢測模塊結(jié)合使用。應用層入侵檢測：許多入侵的語義只有在應用層才能理解。使IDS不僅能檢測Web類的通用協(xié)議，還能處理如LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。智能化入侵檢測：31第三十一頁，共四十六頁，編輯于2023年，星期六5、入侵檢測技術(shù)發(fā)展方向二、入侵檢測技術(shù)分析應用層入侵檢測：目前的IDS僅能檢測如WEB之類的通用協(xié)議高速網(wǎng)絡的入侵檢測目前的IDS只有幾十兆的檢測速度入侵檢測系統(tǒng)的標準化在大型網(wǎng)絡中，網(wǎng)絡的不同部分可能使用多種入侵檢測系統(tǒng)，多個系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊、作出響應并阻止攻擊是關(guān)系整個系統(tǒng)安全性的重要因素。32第三十二頁，共四十六頁，編輯于2023年，星期六1、基于網(wǎng)絡的入侵檢測三、入侵檢測產(chǎn)品分析基于網(wǎng)絡的入侵檢測系統(tǒng)：放置在比較重要的網(wǎng)段內(nèi)，不停監(jiān)視網(wǎng)段中的數(shù)據(jù)包。使用原始網(wǎng)絡包作為數(shù)據(jù)源。通常采用四種技術(shù)來識別攻擊標志：模式、表達式或字節(jié)匹配頻率或穿越閾值低級事件的相關(guān)性統(tǒng)計學意義上的非常規(guī)現(xiàn)象檢測一旦檢測到了攻擊行為，IDS的響應模塊提供多種選項以通知、報警并對攻擊采取相應的反應。通常都包括通知管理員、中斷連接，收集證據(jù)。33第三十三頁，共四十六頁，編輯于2023年，星期六1、基于網(wǎng)絡的入侵檢測三、入侵檢測產(chǎn)品分析優(yōu)點：1）成本低：可在幾個關(guān)鍵訪問點上進行配置，不要求在各主機上裝載并管理軟件。2）通過檢測數(shù)據(jù)包的頭部可發(fā)現(xiàn)基于主機的IDS所漏掉的攻擊（如：DOS、碎片包Teardrop攻擊）。基于主機的IDS無法查看包的頭部。3）攻擊者不易銷毀證據(jù)：可實時記錄攻擊者的有關(guān)信息（不僅包括攻擊的方法，還包括可識別黑客身份和對其進行起訴的信息）。黑客一旦入侵到主機內(nèi)部都會修改審計記錄，抹掉作案痕跡。34第三十四頁，共四十六頁，編輯于2023年，星期六1、基于網(wǎng)絡的入侵檢測三、入侵檢測產(chǎn)品分析4）實時檢測和響應：可以在攻擊發(fā)生的同時將其檢測出來，并做出更快的響應。例如，對拒絕服務攻擊發(fā)出TCP復位信號，在該攻擊對目標主機造成破壞前將其中斷。而基于主機的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應。而這時關(guān)鍵系統(tǒng)可能早就遭到了破壞。5）能檢測未成功的攻擊和不良意圖?；谥鳈C的系統(tǒng)無法查到未遂的攻擊，而這些丟失的信息對于評估和優(yōu)化安全策略至關(guān)重要。6）操作系統(tǒng)無關(guān)性35第三十五頁，共四十六頁，編輯于2023年，星期六1、基于網(wǎng)絡的入侵檢測三、入侵檢測產(chǎn)品分析網(wǎng)絡入侵檢測系統(tǒng)的弱點：只檢查它直接連接網(wǎng)段的通信；為了不影響性能，通常采用簡單的特征檢測算法，難以實現(xiàn)復雜計算與分析；會將大量的數(shù)據(jù)傳給檢測分析系統(tǒng)；難以處理加密會話。目前通過加密通道的攻擊尚不多，隨著IPv6的普及，這個問題會越來越突出。

36第三十六頁，共四十六頁，編輯于2023年，星期六2、基于主機的入侵檢測三、入侵檢測產(chǎn)品分析通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。優(yōu)點：1．確定攻擊是否成功：基于主機的IDS使用含有已發(fā)生事件信息，比基于網(wǎng)絡的IDS更加準確地判斷攻擊是否成功。2．監(jiān)視特定的系統(tǒng)活動：監(jiān)視用戶和訪問文件的活動，包括文件訪問、改變文件權(quán)限；記錄帳戶或文件的變更，發(fā)現(xiàn)并中止改寫重要系統(tǒng)文件或者安裝特洛伊木馬的企圖。37第三十七頁，共四十六頁，編輯于2023年，星期六2、基于主機的入侵檢測三、入侵檢測產(chǎn)品分析3．檢測被基于網(wǎng)絡IDS漏掉的、不經(jīng)過網(wǎng)絡的攻擊。4．可用于加密的和交換的環(huán)境。交換設備可將大型網(wǎng)絡分成許多的小型網(wǎng)絡部件加以管理，所以很難確定配置基于網(wǎng)絡的IDS的最佳位置?；谥鳈C的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。由于加密方式位于協(xié)議堆棧內(nèi)，所以基于網(wǎng)絡的IDS可能對某些攻擊沒有反應，基于主機的IDS沒有這方面的限制，因為這時數(shù)據(jù)流已經(jīng)被解密了。38第三十八頁，共四十六頁，編輯于2023年，星期六2、基于主機的入侵檢測三、入侵檢測產(chǎn)品分析5．接近實時的檢測和響應目前，基于主機的顯著減少了從攻擊驗證到作出響應的時間延遲，大多數(shù)情況下，系統(tǒng)能在遭到破壞之前發(fā)現(xiàn)并阻止入侵者攻擊。6．不要求維護及管理額外硬件設備。7．記錄花費更加低廉：盡管很容易就能使基于網(wǎng)絡的IDS提供廣泛覆蓋，但其價格通常是昂貴的。配置一個簡單的入侵監(jiān)測系統(tǒng)要花費$10,000以上，而基于主機的入侵檢測系統(tǒng)對于單獨－代理標價僅幾百美元，并且客戶只需很少的費用用于最初的安裝。39第三十九頁，共四十六頁，編輯于2023年，星期六三、入侵檢測產(chǎn)品分析基于主機的入侵檢測系統(tǒng)的弱點：1、會降低應用系統(tǒng)的效率。此外，安裝了主機入侵檢測系統(tǒng)后，擴大了安全管理員訪問權(quán)限。2、依賴于服務器固有的日志與監(jiān)視能力。如果服務器沒有配置日志功能，則必需重新配置。

3、全面布署，代價較大。若部分安裝，則存在保護盲點。4、無法監(jiān)測網(wǎng)絡上的情況。對入侵行為的分析的工作量將隨著主機數(shù)目增加而增加。40第四十頁，共四十六頁，編輯于2023年，星期六3、混合入侵檢測三、入侵檢測產(chǎn)品分析基于網(wǎng)絡的和基于主機的IDS對攻擊的反應方式有：告警、存貯和主動響應。單純使用一類產(chǎn)品的防御體系是不完整的，兩類產(chǎn)品結(jié)合起來部署，可以優(yōu)勢互補。既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。41第四