| HDIDS只能保护主机的安全,而且要在每个受保护主机系统上配置一个主机的探测器,如果当网络中需要保护的主机系统比较多时,其安装配置的工作量非常大。此外,对于一些复杂攻击,主机探测器无能为力。因此,需要使用基于网络的分布式入侵检测系统,简称为NDIDS。NDIDS的结构分为两部分:网络探测器和管理控制器。网络探测器部署在重要的网络区域,如服务器所在的网段,用于收集网络通信数据和业务数据流,通过采用异常和误用两种方法对收集到的信息进行分析,若出现攻击或异常网络行为,就向管理控制器发送报警信息。网络入侵检测系统功能模块的分布式配置及管理如下图所示。
|
|
|
|
|
|
|
| NDIDS一般适用于大规模网络或者是地理区域分散的网络,采用这种结构有利于实现网络的分布式安全管理。现在市场上的网络入侵系统一般支持分布式结构。
|
|
|
| 综上所述,分布式IDS的系统结构能够将基于主机和网络的系统结构结合起来,检测所用到的数据源丰富,可以克服前两者的弱点。但是,由于是分布式的结构,所以也带来了新的弱点。例如,传输安全事件过程中增加了通信的安全问题处理,安全管理配置复杂度增加等。
|
|
|
