nids和hids比较

《nids和hids比较》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、NIDS和HIDS比较～教育资源库　　目前，在安全市场上，最普遍的两种入侵检测产品是基于网络的网络入侵检测系统(NIDS)和基于主机的主机入侵检测系统（HIDS）。那么，NIDS与HIDS到底区别在哪里？用户在使用时该如何选择呢？　　先来回顾一下IDS的定义：所谓入侵检测，就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，并对此做出适当反应的过程。而入侵检测系统则是实现这些功能的系统。　　这个定义是ICSA入侵检测系统论坛给出的。不难看出，IDS应该是包含了收集信息、分析信息、给出结论、做出反

2、应四个过程。在IDS发展初期，想要全部实现这些功能在技术上是很难办到的，所以大家都从不同的出发点，开发了不同的IDS。　　一般情况下，我们都按照审计将IDS分成基于网络的NIDS和基于主机的HIDS，这也是目前应用最普遍的两种IDS，尤以NIDS应用最为广泛。大部分IDS都采用信息收集系统-分析控制系统结构，即由安装在被监控信息源的探头（或代理）来收集相关的信息，然后按照一定方式传输给分析机，经过对相关信息的分析，按照事先设定的规则、策略等给出反应。　　　　核心技术有差别　　HIDS将探头（代理）安装在受保护系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件

3、，如对内核或API的调用，以此来防御攻击并对这些事件进行日志；还可以监测特定的系统文件和可执行文件调用，以及Windoail和Web服务器经常是攻击的目标，但是，它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以，应当在各个服务器上安装基于主机的入侵检测系统。因此，即便是小规模的网络结构，也常常需要基于主机和基于网络的两种入侵检测能力。　　应用领域分化明显　　在应用领域上，HIDS和NIDS有明显的分化。NIDS的应用行业比较广，现在的电信、银行、金融、电子政务等领域应用得最好。由于我国的主要电12下一页友情提醒：，特别！信骨干网都部署了NIDS，所以2002年的大规模

4、DoS攻击时，我们的骨干网并没有遭到破坏，而且以此为契机，NIDS迅速地推广到各个应用领域，甚至可以说，2004年NIDS的应用是沿着防火墙走的。　　但在NIDS的应用过程中，最大的敌人就是误警和漏警。漏警不影响应用环境的可用性，只是用户的投资失误；而误警则有可能导致警报异常、网络紊乱，甚至应用的瘫痪。误警很多时候是设置不当造成的，许多用户简单把这些都归结为检测错误率(FalsePositives)，这是不正确的。由于技术的发展，NIDS的检测错误率实际上已经很低了，我们要努力做的是与用户一起，深入理解应用，科学的配置，这才能有效减少误警率。所有说，应用不仅是NIDS厂商的

5、事情，真正的主角应该是用户。　　HIDS的应用，远比NIDS要复杂的多。由于HIDS不像NIDS有许多可以数据化的技术指标，而且又要在被监控的主机上安装探头（代理），使得应用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其应用，都非常谨慎。而对于国防、军工、机要保密等领域，对系统的安全、特别是信息安全要求比较高，而对系统的稳定性不是太敏感，而且更关注来自内部的攻击（一般这些领域的信息系统是不与公网相连的），所以对HIDS的应用比较容易接受，反而NIDS不是很看重。实际上，目前中国的HIDS市场也主要在这些领域。　　由于技术进步和信息安全威胁的增加，从

6、2003年下半年开始，HIDS在其他领域的应用也慢慢多起来了。大型商业企业、数据中心企业以及电子政务系统也都将HIDS纳入了基本的安全架构当中。上一页12友情提醒：，特别！