图片53

在基于网络的入侵检测中，入侵检测的信息来源是分组。以网络为基础的入侵检测系统一般通过对网络层进行监听和分析，能够对网络中的入侵进行检测，从而发现非法访问、盗用数据资源、盗取密码文件等。

网络化入侵检测不需要改变服务器等主机的配置，不需要在业务系统主机上安装额外的软件，这样就不会影响这些计算机的CPU、I/O接口和磁盘等资源的使用。与路由器、防火墙等关键设备不同，基于网络的入侵检测系统不会成为系统的关键路径。在基于网络的入侵检测中，如果不能有效地解决这些问题，那么，在网络上部署入侵检测所面临的风险将大大低于基于主机的入侵检测。

网络化入侵检测的优点是具有实时性，能够在检测到攻击时快速响应。此外，基于网络的入侵检测能够对整个网络中的分组进行实时监控，而不需要象主机那样，在每一台主机上都安装检测系统，因此，基于网络的入侵检测系统是一种经济可行的解决方案。而且，基于网络的入侵检测在检测网络包时并不依赖于操作系统提供数据，所以它具有操作系统上的独立性。

但是，基于网络的入侵检测也存在一些不足，并面临如下挑战。

①网络入侵检测系统可以把大量的数据返回给分析系统。

②不同网络(Maximum Transmission Unit,MTU)的最大传输单位不同，某些大型网络包通常分为小型网络包进行传送。在分割大型网络包时，很可能将其中的攻击特征分解。在网络层上，基于网络的入侵检测不能检测到这些特征，而将这些特征分解后，就会重新组装起来，引起网络层的攻击和破坏。

③由于VPN、SSH、SSL等应用，数据加密变得越来越普遍，传统的基于网络的入侵检测系统工作在网络层，不能分析上层的加密数据，因此不能检测加密的入侵网络包。

④在百兆或者是千兆网关中，仅在一点对整个网络进行分组分析是不可行的，这必然会导致丢包问题，导致漏报或误报。

⑤异步传输方式(ATM)网络将信息以固定长度的小包(信元)传送。字节长度为53字节的信元相对于以前的包技术有一些优势：短信元交换速度快，易于硬件实现。然而，交换网络不能被传统的网络监听器监控，因此无法对数据包进行分析。