【804】資訊安全談網路入侵偵測系統-2

主機型 vs 網路型 主機型入侵偵測系統(HIDS)是保護個別主機,而網路型入侵偵測系統(NIDS)保護整個區域網路(LAN),兩者各有優缺點。HIDS要求與作業系統核心和服務緊密的捆綁在一起,監控各種系統事件,能對檢測的入侵行為、事件給予積極的反應,比如封鎖用戶帳號、關閉處理程序、提交警報等等。如果某用戶在系統中植入了一個未知的Trojan/Backdoor病毒,可能所有的防毒軟體的病毒庫都沒有記載,但只要這個Trojan/Backdoor程式開始工作,如提升帳號層級、非法修改系統檔、調用被監控檔和檔案夾等,就會立即被主機入侵偵測系統發現,並採取關閉處理程序、封鎖帳號,甚至中斷網路連接。現在的某些主機入侵偵測系統甚至吸取了部分網路管理、訪問控制等方面的技術,能夠與系統,甚至系統上的應用緊密結合。主機型入侵偵測系統必須被佈署在每一台被保護的電腦上,如圖1。 網路型入侵偵測系統(NIDS)則是以網路封包作為分析的資料來源,它通常是利用一個工作在混雜模式(Promiscuous mode)下的網路卡來即時監視並分析通過此網段的封包資料流,其分析模組通常使用特徵比對、統計分析等技術來識別攻擊行為。一旦檢測到了攻擊行為,網路入侵偵測系統的回應模組就作出適當的回應,比如報警、切斷相關用戶的網路連接等。網路入侵偵測系統收集的是網路中的動態流量資訊,因此,攻擊特徵資料庫數目的多寡以及電腦的運算處理能力,就決定了網路入侵偵測系統識別入侵行為的能力。網路入侵偵測系統架設在防火牆(Firewall)後端,能夠適時發覺在網路中的攻擊行為,並採取相對的回應措施。所以網路型入侵偵測系統只須佈署在一台電腦上即可,但這台電腦必須處在區網(LAN)中的適當位置,以便可以”看””到所有的網路流量,如圖2。 目前市面上常見的幾個入侵偵測系統,他們的產品名稱、類別,及參考價格如表一。學術上也有若干入侵偵測系統是結合主機型與網路型兩者的特色而成,稱之為混合型入侵偵測系統(Hybrid Intrusion Detection System)。當然,它的複雜度也會變得相當高。”

發表迴響