【安防知识网】入侵侦测系统其实可以算是一个侦测程序,主要在于侦测外部攻击者以及内部人员对未经授权之资讯系统做不正当的存取或攻击。接下来将为大家介绍入侵侦测系统的基本概念,其所使用的侦测技巧以及各项侦测技巧与建置方式的优缺点比较。基本上入侵侦测系统分为两种建置方式∶主机端入侵侦测系统(Host-basedIDS)以及网路端入侵侦测系统(Network-basedIDS)。
什么是主机端入侵侦测系统?
主机端入侵侦测系统主要是靠记录并分析该主机上的各项活动程序以侦测是否有不适当的存取行为。藉由这样的方式来判断该主机上某个特定的处理程序或使用者是否正在进行可疑的攻击行为。
主机端入侵侦测系统的优缺点
优点∶
主机端入侵侦测系统可以侦测到网路端入侵侦测系统所侦测不到的攻击行为,因为它是针对本地主机做事件记录的检视。
主机端入侵侦测系统可以在有加密(encrypted)的网路环境下运作,只要加密的记录资讯,能在监听的主机上解密(decrypted)或在送达监听主机之前解密即可。
主机端入侵侦测系统可以在交换式网路(switchednetwork)环境下运作使用。因为主机端入侵侦测系统仅针对该监听主机所接收到的封包做分析,因此对是否建置在交换网路上并不会有任何影响。
缺点∶
收集监听记录的机制通常必须在每一台所要监听的主机上安装并维护。正因为主机端入侵侦测系统部份的系统是安装在所要监听的主机上,所以当所监听的主机受到攻击时,主机端入侵侦测系统可能也会同时受到攻击,或者可能会被较高明的攻击者在入侵后将其监听功能关闭。
主机端入侵侦测系统对网段上的扫瞄并不能有效地侦测,因为其仅能侦测到该主机所收到的封包而不能得知其它主机是否也收到类似的攻击。主机端入侵侦测系统通常对阻断服务式攻击(Denial-of-Serviceattack)有侦测上的困难,而且也无法有效地在阻断服务式攻击下正常运作。主机端入侵侦测系统在运作时是占用所被监听主机的硬体资源。
[nextpage] 什么是网路端入侵侦测系统?
网路端入侵侦测系统以记录并分析网路封包的方式来侦测入侵行为,其主要建置在网路的骨干上。单一的「网路端」入侵侦测系统便可监听大量的网路资讯。网路端入侵侦测系统通常包含一组监听装置,用于监听记录网路封包并将所侦测到疑似攻击的封包回报到单一独立的管理控制台(ManagementConsole)。大多数的入侵侦测系统是处在隐形模式(StealthMode)下运作,所以对攻击者而言,在侦测这些系统的存在以及其所部署的位置是非常困难的。
网路端入侵侦测系统的优缺点
优点∶
少数、但位置部署良好的网路端入侵侦测系统,对侦测大型网路活动具有非常高的效率。由于网路端入侵侦测系统为被动式的装置(passivedevice),因此其建置与部署并不会对原本的网路流量及运作有显着的影响。所以建置网路端入侵侦测系统可以说是一项花费最少成本却可得到最有效率的投资。网路端入侵侦测系统可以被设定为隐形模式,安全地保护其主机以避免成为攻击者的目标。
缺点∶
网路端入侵侦测系统对处理流量频繁的大型网路之封包有某种程度的困难,因此在封包流量高时,可能会有遗漏侦测到正潜在进行的攻击行为的可能性。部份厂商试着将「网路端」入侵侦测系统完全地建置在硬体平台上以得到较好的效能来解决这样的缺点。但是对「网路端」入侵侦测系统而言,最重要的是如何以最低的电脑运算效能去分析网路封包,而达到最高的侦测准确率。
大部份较先进的网路端入侵侦测系统并不完全适用于交换式网路环境(switchednetwork)。因为大部份的交换式网路并不提供通用的监听埠(monitoringport)而导致「网路端」入侵侦测系统仅能监听单一主机。
网路端入侵侦测系统无法对加密(encrypted)的资讯进行分析。这将会成为一个严重的问题,因为无论是企业界或是攻击者使用加密技术(encryption)来传递资讯的情况已日益频繁。
大部份的网路端入侵侦测系统并不会对攻击行为是否成功作回报,它们仅会对是否有攻击行为的发生作回报。所以对系统管理者而言,在每次侦测到有攻击行为发生时,他们必须亲自对疑似被攻击的主机作检视调查以判断攻击行为是否成功。
资讯是全球知名展览公司百科展览集团旗下的专业媒体平台,自1994年品牌成立以来,一直专注于安全&自动化产业前沿产品、技术及市场趋势的专业媒体传播和品牌服务。从安全管理到产业数字化,资讯拥有首屈一指的国际行业展览会资源以及丰富的媒体经验,提供媒体、活动、展会等整合营销服务。
粤公网安备 44030402000264号
