一、性质不同
1、基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的数据包,从而检测是否存在入侵行为。
2、基于主机的入侵检测系统(Host-basedIDS,HIDS)出现在20世纪80年代初期,那时网络规模还比较小,而且网络之间也没有完全互连。在这样的环境里,检查可疑行为的审计记录相对比较容易,况且在当时入侵行为非常少,通过对攻击的事后分析就可以防止随后的攻击。
二、原理不同
1、基于网络的入侵检测系统:通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块。
2、基于主机入侵检测系统:使用审计记录,但主机能自动进行检测,而且能准确及时地作出响应。通常,HIDS监视分析系统、事件和安全记录。
扩展资料
HIDS的主要特点如下。
1、监视特定的系统活动
HIDS监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件或者试图访问特殊的设备。
2、能够检查到基于网络的入侵检查系统检查不出的攻击
HIDS可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。
3、适用于采用了数据加密和交换式连接的子网环境
由于HIDS安装在遍布子网的各种丰机上,它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。
参考资料来源:百度百科——基于网络的入侵检测系统
参考资料来源:百度百科——基于主机入侵检测系统
基于网络的入侵检测是以设备形式部署在旁路的,主要通过流量包检测入侵;基于主机的入侵检测系统是以软件形式直接部署在主机上的
网络,指,整个互联网。 主机,指,单个或者多个主机。目标明确。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024