【2014年12月7日】【每日一问】HIDS和NIDS有什么区别？

【答】
所谓入侵检测（Intrusion Detection），就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象，并对此做出适当反应的流程。
而入侵检测系统（Intrusion Detection System，IDS）则是实现这些功能的系统。IDS应该包含收集信息、分析信息、给出结论、做出反应四个流程。
HIDS和NIDS的区别如下：
1. HIDS（Host-based Intrusion Detection System，基于主机的入侵检测系统）
① HIDS将代理安装在受保护的系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来进行防御。
② HIDS还可以监测特定的系统文件和可执行文件调用，以及Windows NT下的安全记录和Unix环境下的系统记录。
③ HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等。
④ HIDS技能要求非常高，要求开发HIDS的企业对有关的操作系统非常了解，而且安装在主机上的代理必须非常可靠，系统占用小，自身安全性要好，否则将会对系统产生负面影响。
⑤ HIDS关注的是到达主机的各种安全威胁，并不关注网络的安全。
⑥ HIDS由于采取的是对事件和系统调用的监控，衡量它的技术指标非常少。


2. NIDS（Network Intrusion Detection System，网络入侵检测系统）
① NIDS最大的特点在于不需要改变服务器等主机的配置，它不需在业务系统的主机中安装额外的软件。
② NIDS不是系统中的关键路径，即使发生故障也不会影响正常业务的运行。
③ NIDS是以网络包作为分析数据源。它通常运用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。
④ NIDS的分析模块通常运用模式匹配、统计分析等技能来识别攻击行为，一旦检测到了攻击行为，NIDS的响应模块就作出适当的响应，比如报警、切断有关用户的网络连接等。
⑤ NIDS收集的是网络中的动态流量信息，因此，攻击特征库数目多少以及数据处理能力，就决定了NIDS识别入侵行为的能力。
⑥ 部署一个NIDS，比HIDS的风险与成本相对较低。
⑦ NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技术指标可以数量化。
⑧ 在NIDS的应用过程中，最大的敌人就是误警和漏警。漏警不影响应用环境的可用性，只是用户的投资失误；而误警则有可能导致警报异常、网络紊乱，甚至应用的瘫痪。