以主机为基础的入侵检测信息来源于操作系统事件日志、审计管理工具和应用审计记录。其方法是监控系统运行状况(文件开放和存取、文件权限变更、用户登录和特权服务访问等)、审计系统日志文件以及应用程序日志文件(关系数据库、Web服务器)来探测入侵。在此基础上,基于主机的入侵检测系统能够发现用户滥用权限、建立后门帐号、修改重要数据、更改安全配置等行为,并定期检查系统关键文件,计算其校验值,确认其完整性。
以主机为基础的入侵检测系统检测发生在主机上的活动,处理的是操作系统事件或应用程序事件,因此高速网络不会对其产生影响。而由于其所用的是操作系统提供的信息,经过加密的数据包到达操作系统之后,就会对其进行解密,因此基于主机的入侵检测系统可以很好的解决这个问题。此外,基于主机的入侵检测系统还可以综合多种数据源进行进一步的分析,利用数据挖掘技术来发现入侵。
然而,基于主机的入侵检测系统也存在一些不足,主要有以下5个方面。
①降低系统性能:对原始数据进行集中化、分析、存档处理,这些都需要占用系统资源,因此,基于主机的入侵检测会在一定程度上降低系统的性能。
②难于配置与维修:每台检测主机需安装检测系统,各系统均需进行维修与升级,安装与维修费用不少。
③可能出现关机:因为基于主机的入侵检测系统是安装在被检测主机上的,具有权限的用户或攻击者可以关闭检测程序,使其不对系统进行记录,从而逃避检测。
④存在数据欺骗问题:攻击者或具有权限的用户可能会被插入、修改或删除审计记录,从而逃避对主机的入侵检测系统的检测。
⑤实时性差:以主机为基础的入侵检测系统进行的是事后检测,所以,当发现入侵时,系统已被破坏。
分布式入侵探测系统
分布式入侵检测检测到的数据也是来自于网络中的分组,不同的是,采用分布式检测、集中管理的方法,即在每个网段上设置一个黑盒。黑盒子是基于网络的入侵检测系统,只是没有用户操作接口;黑盒子是用来检测其所在网段的数据流,并按照中央安全管理中心制定的安全政策,对检测的网络数据进行分析,并将安全事件信息发送到中央安全管理中心。集中式安全管理中心是分布式入侵检测面向用户的接口,其特点是数据保护范围较广,但对网络流量有一定影响。
另外,入侵检测按工作方式可分为离线和联机两大类。离线检测系统是非实时运行的系统,离线检测系统对审计事件进行分析,并对入侵行为进行检查。该系统是一种在线实时检测系统。联机检测系统的工作包括实时分析网络数据包,分析实时主机审计主机。它的工作过程是在联网时实时检测到入侵行为,一旦发现入侵信号,立即断开与主机的连接,收集证据,进行数据恢复。这一探测过程持续不断。
