IDS 主要可以分為三種類型, 主機型(Host-Based) ,顧名思義,是保護單一主機的安全,所以會針對permission 或 process做對象,網路型(network-based),這是會分析網路的封包,針對網路上的一群主機做保護
•Network-Based IDS (NIDS) –> network packet
•Host-Based IDS (HIDS)—> permission
•Appication-Based IDS (AIDS) –>Process
HIDS 通常都會針對程式,做完整性的檢查,這類檢查,通常不用知道一個檔案是如何被改變的,只需要知道被改變即可,實際上應用,可以搭配web server,單發現檔案被改掉時,馬上進行覆蓋還源,就不會在網頁上被駭客植入不雅的文字
NIDS 對比於HIDS的單一完整性檢查,方法上就會比較多元,通常可以分為兩種,一個是屬於Content Based: 根據不同的protocol analysis or signature matching
另一個屬於rate-based: 比較像有點小的假AI人工智慧,屬於異常偵測系統,當發現有異常的網路流量時,即可以採取必要行動,但相對於content based的放是,rate-based 容易產生false positive,會把一些正常行為誤判成攻擊行為,容易造成客戶的不便
沒有留言:
張貼留言