【TechTarget中国原创】入侵检测系统(Intrusion-detection systems,IDS)是任何安全基本架构的关键组件。这些硬件和/或硬件设备监控网络中的恶意行为,并向管理员报告进一步的调查。市场上有很多入侵检测系统,从为高带宽设计的专门的硬件(费用是上千美元)一直到绝对免费的基于软件的IDS Snort。
实际上,有一种相对简单的分类法,可以用于区分大部分的入侵检测系统。它是 基于两个特征的——监控运算法则类型(特征或异常检测)和监控的环境(何网络或主机)。TechTarget中国的特约专家将简要分别介绍种。
IDS的监控运算法则明确了系统如何决定一种行为是良性还是恶性。两种最常见的法则类型如下:
- 异常检测首先在系统或网络上开发“正常”行为的基线,然后当异常行为发生时,使用这些基线进行检测。异常检测系统的主要优势在于他们可以在新类型的恶意行为发生时检测到。缺点是这种系统需要经过“教育”才能接受一种恶意行文作为基线的一部分,这是通过缓慢地把它引入监控环境,直到被接受为正常而实现的。
- 特征检测系统,另一方面,使用已知的攻击类型的基线。但他们检测到和这些类型符合的行为是,就会发出警告。特征检测系统的假警告(或者“假阳性”)率很低,但是需要不断地更新,保证可以检测到新型的攻击。
入侵检测系统可以根据检测的环境类型被进一步分为:
- 基于网络的系统监控整个网络中的恶意行为。他们可以检测到分散的攻击,但是可能会错过单个主机上的攻击,例如病毒感染。
- 基于主机的系统监控单个系统(虽然很多基于主机的系统体重中央监控方案)。他们可以检测恶意代码和其他可能影响系统而不影响网络的行为的攻击。
有一点很重要,市场上的每一种IDS都不能完美地这样划分。可以找到一些混合的系统,把这两种监控运算法则的特征结合起来和/或监控不止一种类型的环境。当策划一种IDS结构是,你应该努力在运算法则和监控环境中找到平衡。