IDS的学习

当前的网络IDS系统可以分为基于网络数据包分析的系统（NIDS）和基于主机分析的系统（HIDS）两种基本方式。简单地讲，HIDS产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断，在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告；NIDS产品在网络通信中寻找符合网络入侵模板的数据包，并立即作出相应反应。

从传统角度看，入侵检测系统（IDS）一直存在着主机型入侵检测系统（HIDS）和网络型入侵检测系统（NIDS）哪一个更好的争论。现在有一种说法是，HIDS将逐步取代NIDS，成为市场的主流。那么到底HIDS比NIDS好在哪里呢？这需要从监测范围、检测时间、协同工作能力、反应时间等几方面对HIDS和NIDS加以比较，才能得出结论。

NIDS只检查它直接连接网段的通信，不能检测在不同网段的网络包，在使用交换以太网的环境中就会出现监测范围的局限。HIDS系统则可以检测多种网络环境下的网络包。NIDS系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。

而这方面正是HIDS的强项。NIDS系统中的传感器协同工作能力较弱，同时系统处理加密的会话过程较困难，而对于HIDS则没有这一障碍。另一方面，由于HIDS系统在反应的时间上依赖于定期检测的时间间隔，反应较慢，而且其检测实时性也没有基于网络的IDS系统好。NIDS的优点是反应相当快，可以自动阻塞那些有怀疑的数据，调整相应的网络配置，用来响应那些检测到的攻击过程。不过，因为NIDS工作在实时模式，所有的数据都要经过它们，所以NIDS成为了网络数据流量的一个瓶颈，对网络的性能形成负面影响。

NIDS对网络性能的影响并不能进行确切地度量，其影响每时每刻都不同，这主要与所采用的硬件、软件、网络数据类型、网络数据流量以及网络的拓扑结构有关。这些观点从赛门铁客公司大中华区安全事业部技术总监王岳忠处得到了证实。

从以上几方面看，HIDS确实已经高出NIDS一筹。但要让NIDS完全退出市场也并不现实，毕竟NIDS还有自己的用武之地。因此企业在实施NIDS系统的同时，在特定的敏感主机上增加代理是一个比较完善的策略。这样HIDS与NIDS也可以做到优势互补。况且目前HIDS也不尽完善，尽管准确度较高，但缺点是不同的系统需要不同的引擎。系统升级时，需要升级引擎，安装和维护不方便，同时无法发现网络上的攻击事件。而NISD安装调试则较简单，不需在系统上安装任何软件，需要的引擎数又少，可及早发现网络上的攻击，同时隐蔽性也更好。但是在准确性方面，NIDS的缺点又显露出来，同时随着网络流量的增大，其处理峰值流量的难度也会随着加大。这样比较下来， NIDS还是不会比HIDS具有优势。而主流的HIDS具备管理器/代理结构，通过这一结构不仅可以监视整个网络的入侵和攻击活动、审查日志管理，还可以进行实时入侵活动的探测。这个结构代表了IDS技术的发展趋势。