| 基于网络的入侵检测系统,简称为NIDS。NIDS通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成,其构成多分为两部分:探测器和管理控制器。探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到攻击行为形成报警事件,向管理控制器发送报警信息,报告发生入侵行为。管理控制器可监控不同网络区域的探测器,接收来自探测器的报警信息。一般说来,NIDS能够检测到以下入侵行为:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 当前,NIDS的软件产品有许多,国外产品有Session Wall、ISS RealSecure、Cisco Secure IDS等,国内的IDS产品公司有东软集团、北京天融信网络安全技术有限公司、绿盟科技集团股份有限公司、华为技术有限公司等。此外,因特网上有公开源代码的网络入侵检测系统Snort。Snort是轻量型的NIDS,它首先通过libpcap软件包监听(sniffer/logger)获得网络数据包,然后进行入侵检测分析。其主要方法是基于规则的审计分析,进行包的数据内容搜索/匹配。目前,Snort能检测缓冲区溢出、端口扫描、CGI攻击、SMB探测等多种攻击,还具有实时报警功能。
|
|
|
|
|
|
|
| . 基于网络的入侵检测系统的安装对已有网络影响很小,通常属于被动型的设备,它们只监听网络而不干扰网络的正常运作;
|
|
|
| . 基于网络的入侵检测系统可以很好地避免攻击,对于攻击者甚至是不可见的。
|
|
|
|
|
| . 在高速网络中,NIDS很难处理所有的网络包,因此有可能出现漏检现象;
|
|
|
| . 交换机可以将网络分为许多小单元VLAN,而多数交换机不提供统一的监测端口,这就减少了基于网络的入侵检测系统的监测范围;
|
|
|
| . 如果网络流量被加密,NIDS中的探测器无法对数据包中的协议进行有效的分析;
|
|
|
| . NIDS仅依靠网络流量无法推知命令的执行结果,从而无法判断攻击是否成功。
|
|
|
