硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
电子科技大学硕士学位论文
中寻找攻击特征和异常特征时被称为是基于主机的系统,在被监视网络的网络分组流中寻找这些特征时被称为是基于网络的系统。两者都有各自的优点和缺陷,有些能力是不能互相替代的。现在,综合利用两种类型的数据源以取长补短获得互补特性的系统被称为是混合式系统。此外,许多其它类型的数据源,如防火墙、识别和认证、访问控制以及其他安全设备或子系统产生的活动日志,也是入侵检测系统可能的数据来源。
2.4.1基于主机的入侵检测系统
基于主机的入侵检测系统具有如下的优点:能检测出物理地侵入主机系统进行的违反安全策略的活动,能检测主机系统运行状态和静止状态的异常变化;不受日益增长的加密通道应用的影响;与基于网络的检测系统相比,数据量要小得多,特别是随着高速网络应用的不断广泛,这一点就更加突出。这相应地带来检测效率和检测准确性较高的优点。
基于主机的入侵检测系统的不足之处也是很明显的:基于主机的入侵检测依赖于事件生成能力和底层操作系统的日志登记能力;基于主机的入侵检测系统必须配置在每一台需要保护的主机上,这必然给被监视的主机带来额外的负担:基于主机的数据源与所使用的操作系统及其版本密切相关,因此,基于主机的入侵检测系统的移植性差,存在着要开发多个版本和随时升级以适应操作系统版本多和不断升级的特性;基于主机的检测实时性较差。
2.4.2基于网络的入侵检测系统
基于网络的入侵检测系统有许多优点:所有的网络都遵循着统一的协议标准;能检测许多基于主机的系统检测不到的攻击,而且比基于主机的系统更可靠,特别是通过网络发动的、通过低层协议和通过内嵌在有效负载中进行的攻击;基于网络的入侵检测系统具有比基于主机的入侵检测系统更好的实时特性;基于网络的入侵检测系统不需要配置在被监视的主机上,因而对受保护的主机和网络系统的性能影响很小或几乎没有影响,并且无需对原来的系统和结构进行改动;网络监听引擎无论对网络用户还是对入侵者都是透明的,因此,可以降低检测系统本身遭受攻击的可能性。
基于网络的入侵检测系统也有其局限性:无法检测物理地侵入被监视主机系12
