Quote: http://www.cisco.com/global/tw/networking/security/pdf/product3_2.pdf
入侵偵測系統依其防禦重點不同,可分為主機型(Host based)與網路型(Network-based)入侵偵測系統。顧名思義主機型入侵偵測系統,在提供個別主機偵測與防禦偵測系統,將系統安裝於每一主機上,阻絕外來網路攻擊(如
HTTP port 80)或中斷系統內部非法程序之存取,以免主機遭受破壞;另有管理中控台,以提供監視與控制設定,報表與事件通知服務。而網路型入侵偵測系統之功能,在於監控一個或多個網段內之網路活動,提供較大的監控範圍,通
常與主機型互補使用,形成深度而有效地防禦措施。入侵偵測的原理可分為Profile-Based 或Signature-Based。Profile-Based 需先建立用戶網路環境之正常活動模式,再據以判別異於常態之活動,技術難度較高且用戶環境差異大,較難定義何謂”正常模式”;而Signature-based 則是建立
一套規則(signature) ,用於形容遭惡意利用的網路封包行為,原理如同病毒碼一般。以網路型入侵偵測系統為例,在防禦角色上可分為偵測器(sensor)與中控台(console),其中偵測器通常佈置於重要網段,例如Internet Server Farms、VPN
通道出口等。
留言