基于網(wǎng)絡(luò)的入侵檢測

　　基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品(NIDS),通常也稱硬件檢測系統(tǒng),放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接,網(wǎng)管可以在windows平臺進行配置,中央管理。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的。



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點：



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超過授權(quán)的非法訪問。



　　一個網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機的配置。由于它不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務(wù)



系統(tǒng)的性能。　由于網(wǎng)絡(luò)入侵檢測系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)生故障不會影響正常業(yè)務(wù)的運行。布署一個網(wǎng)絡(luò)入侵檢測系統(tǒng)的風險比主機入侵檢測系統(tǒng)的風險少得多。


網(wǎng)絡(luò)入侵檢測系統(tǒng)近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢，安裝這樣的一個網(wǎng)絡(luò)入侵檢測系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點：



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺網(wǎng)絡(luò)入侵檢測系統(tǒng)的傳感器會使布署整個系統(tǒng)的成本大大增加。



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復雜的需要大量計算與分析時間的攻擊檢測。



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數(shù)據(jù)量，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。



　　網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個問題會越來越突出。



基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。它通過在網(wǎng)段上對通信數(shù)據(jù)的偵聽來采集數(shù)據(jù)。當它同時檢測許多臺主機的時候，系統(tǒng)的性能將會下降，特 別是在網(wǎng)速越來越快的情況下。由于系統(tǒng)需要長期保留許多臺主機的受攻擊信息記錄，所以會導致系統(tǒng)資源耗竭。盡管存在這些缺點，但由于 基于網(wǎng)絡(luò)的IDS易于配置和易于作為一個獨立的組件來進行管理而且他們對受保護系統(tǒng)的性能不產(chǎn)生影響或影響很小，所以他們?nèi)匀缓苁軞g迎。




摘自　中寬網(wǎng)