首页 理论教育分布式入侵检测的优势

分布式入侵检测的优势

【摘要】:分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。(四)协调响应措施由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。

分布式入侵检测由于采用了非集中式的系统结构和处理方式,相对于传统的单机IDS具有一些明显的优势。

(一)检测大范围的攻击行为

传统的基于主机的入侵检测系统只能通过检查系统日志和审计记录来对单个主机的行为或状态进行监测,即使是采用网络数据源的入侵检测系统,也仅在单个网段内有效。对于一些针对多主机、多网段和多管理域的攻击行为,如大范围的脆弱性扫描或拒绝服务攻击,由于不能在检测系统之间实现信息交互,通常无法完成准确和高效的检测任务。

分布式入侵检测通过各个检测组件之间的相互协作,可以有效克服这一缺陷。

(二)提高检测的准确度

不同的入侵检测数据源反映的是系统不同位置、不同角度、不同层次的运行特性,可以是系统日志、审计记录或网络数据包等。传统的入侵检测系统为了简化检测过程和算法复杂度,通常采用单一类型的数据源。这虽然可以提高系统的检测效率,但是也导致了检测系统输入数据的不完备。另外,检测引擎如果采用单一的算法进行数据分析,同样可能导致分析结果不准确。(www.chuimin.cn)

分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。各个检测组件所使用的检测算法也不是固定的,有模式匹配、状态分析、统计分析和量化分析等,可以分别应用于不同的检测组件。系统通过对各个组件报告的入侵或异常特征,进行相关分析,可以得出更为准确的判断结果。

(三)提高检测效率

分布式入侵检测实现了针对安全审计数据的分布式存储和分布式计算,相对于单机数据分析的入侵检测系统来说,这将不再依赖系统中唯一的计算资源和存储资源,可以有效地提高系统的检测效率,减少入侵发现时间。

(四)协调响应措施

由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。即使攻击者使用网络跳转的方式隐藏真实的IP地址,在检测系统的监控范围内通过对事件数据进行相关和聚合,仍然有可能追查到攻击者的真实来源。