基于主机的入侵检测系统和基于网络,入侵检测系统分为基于主机的

基于网络的入侵检测系统和基于主机的检测系统区别

一、性质不同

1、基于网络的入侵检测系统用原始的网络包作为数据源，它将网络数据中检测主机的网卡设为混杂模式，该主机实时接收和分析网络中流动的数据包，从而检测是否存在入侵行为。

2、基于主机的入侵检测系统(Host-basedIDS,HIDS)出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在这样的环境里，检查可疑行为的审计记录相对比较容易，况且在当时入侵行为非常少，通过对攻击的事后分析就可以防止随后的攻击。

二、原理不同

1、基于网络的入侵检测系统：通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块。

2、基于主机入侵检测系统：使用审计记录，但主机能自动进行检测，而且能准确及时地作出响应。通常，HIDS监视分析系统、事件和安全记录。

扩展资料

HIDS的主要特点如下。

1、监视特定的系统活动

HIDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件或者试图访问特殊的设备。

2、能够检查到基于网络的入侵检查系统检查不出的攻击

HIDS可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。

3、适用于采用了数据加密和交换式连接的子网环境

由于HIDS安装在遍布子网的各种丰机上，它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。

参考资料来源：百度百科——基于网络的入侵检测系统

参考资料来源：百度百科——基于主机入侵检测系统

入侵检测系统的分类是什么？

根据其采用的技术可以分为异常检测和特征检测。\x0d\x0a\x0d\x0a（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成\x0d\x0a\x0d\x0a（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。\x0d\x0a\x0d\x0a（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。\x0d\x0a\x0d\x0a根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。\x0d\x0a\x0d\x0a（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。\x0d\x0a\x0d\x0a（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。\x0d\x0a\x0d\x0a（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。\x0d\x0a\x0d\x0a根据工作方式分为离线检测系统与在线检测系统。\x0d\x0a\x0d\x0a（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。\x0d\x0a\x0d\x0a（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

根据检测原理,入侵检测(IDS)可分为几种?其属性分别是什么?

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

扩展资料：

入侵检测系统分为四个组件:

1，事件产生器(Eventgenerators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它经过分析得到数据，并产生分析结果。

3，响应单元(Responseunits)，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4，事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

参考资料来源：百度百科-IDS入侵检测

比较基本网络和基于主机的入侵检测系统的优缺点.

这两个东西比较优缺点说不上，它们作用就不一样。你这样分类是基于数据源的，基于数据源入侵检测系统可以分为基于主机、基于网络和基于路由器的。具体来说基于主机的主要是检测用户操作、应用程序动作等在本机发生的行为，有点像是抓内鬼，而依据一般是系统日志。基于网络的主要是检测网络通信，TCP连接、UDP连接、ICMP数据包等等访问和控制行为，主要依据是数据包本身和承载的数据还有这些行为在统计上的特征，主要是防外人。而基于路由器的，主要检测通过路由的流量，是否符合规范等，可以说基本是依据数据包本身的特征，主要用来控制网络路径的。全手打，求给分!