什么是基于主机的入侵检测?
基于主机的入侵检测系统是在需要保护的主机上加载一组或几组软件。加载的软件利用日志文件和系统审计结果作为数据源。与之对比,基于网络的入侵检测靠监视自己网段上的数据流作为数据源。两种形式的入侵检测都有自己的优缺点,最后,你也许会用两者混合的形式。日常负责维护入侵检测系统的人应该是机警、有很强能力的系统管理员,他应该非常熟悉主机、网络连接、网络用户以及用户的习惯并且熟悉已经安装的软件。管理员并不一定是软件专家,但他仍需摸索主机如何运行,什么程序是合法的。许多入侵企图都能被细心的系统管理员及时拦截,他们能够发觉主机的异常情况或用户有异常行为。 基于主机的入侵检测不是仅仅检测出入一台主机的数据流,它同时能够检查系统文件的完整性和系统可疑的进程。为了得到对你的计算机的全面保护,你需要在每一台需保护的计算机上加装入侵检测软件。基于主机的入侵检测主要分为两大类:host wrappers和个人防火墙。每一类工具对检测内网的异常行为的效果都强于基于网络的入侵检测,对于检测来自外网的攻击两类工具也有不错的效果。
页:
[1]