|
Windows NT 的日志文件分为三类:系统日志、应用程序日志、安全日志 入侵特征的提取( 一共八个方面 其中4个日志) 1、安全日志 2、系统日志 3、应用程序日志 4、系统性能日志 5、网络连接监控 6、关键文件指纹变动监控 7、Windows注册表监控 8、系统进程列表 基于主机的入侵检测系统优点: 1、基于主机的入侵检测系统对分析“可能的攻击行为”非常有用。 2、基于主机的入侵检测系统的误报率通常低于基于网络的入侵检测系统,这是因为检测在主机上运行的命令序列检测网络数据流更简单,系统的复杂性也低得多。 3、基于主机的入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信贷款不足的场合。基于主机的入侵检测系统在不适用注入“停止服务”、“注销用户”等响应方法是风险较低 基于主机的入侵检测系统缺点: 1、基于主机的入侵检测系统需要安装在被保护的主机上。 2、基于主机的入侵检测系统的另一个问题是它依赖于服务器固有的日志与监控能力。如果服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统,带来不可预见的性能影响。 3、全面部署基于主机的入侵检测系统代价较高。 4、基于主机的入侵检测系统只监控本主机,根本不监控网络上的情况。 基于网络的入侵检测系统基于网络的入侵检测系统是指监测整的网络流量的系统 一块网卡的两种常用的用途: 普通模式、混杂模式 基于网络的入侵监测系统的优点: 1. 成本较低 2. 检测基于主机的系统漏掉的攻击 3. 攻击者不易转移证据 4. 实时检测和响应 5. 检测未成功的攻击和不良意图 6. 操作系统无关性 基于网络的入侵监测系统的缺点: 1. 基于网络的入侵检测系统只检查他直接连接的网段的通信,不能检测其他网段的包。在使用交换技术的以太网环境中就会暴露出其检测方位的局限性。而安装多个基于网络的入侵检测系统的传感器会使部署整个系统的成本大大增加。 2. 基于网络的入侵检测系统为了性能目标通常采用特征检测方法,他可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 3. 基于网络的入侵检测系统可能将会大量的数据传回分析系统中。在一些系统中监听特定的包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量,关于入侵判断的决策由传感器来实现,而中央控制台成为状态显示与通信中心,不再作为入侵行为分析器。在这样的系统中传感器的协同工作能力较弱。 4. 基于网络的入侵检测系统处理加密的会话过程较困难。目前通过加密通道的攻击上不多,但随着IPV6的普及,这个问题会越来越突出.
|
