试题详情
简答题什么是基于主机的IDS、基于网络的IDS、分布式IDS?
  • 1、基于主机的入侵检测系统:输入数据来源于系统的审计日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。
    2、基于网络的入侵检测系统:基于网络的IDS的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网络段上发生的网络入侵。
    3、分布式入侵检测系统:一般由多个部件组成,分布在网络的各个部分,完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对整网络上的主机的入侵。
  • 关注下方微信公众号,在线模考后查看

热门试题