人侵检测系统IDS从实现方式上一般分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外,能够识别的入侵手段的数量多少,最新入侵手段的更新是否及时,也是评价入侵检测系统的关键指标。
(1)基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式对攻击做出反应。
(2)基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的系统日志文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名,以发现它们是否匹配,如果匹配的话,检测系统就向管理员发出入侵报警并且采取相应的行动。
(本文原创:转载未经许可将追责)