入侵检测系统组成数据采集模块入侵分析引擎模块应急处理模块管理配置模块相关的辅助模块

基于主机的入侵检测系统

HIDS通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息，分析这些信息是否包含攻击特征或异常情况，并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化。因此在实际的HIDS产品中，CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系利用事、系统调用等常作为入侵事件的依据。

HIDS一般适合检测以下入侵行为

针对主机的端口或漏洞扫描；重复失败的登入尝试；远程口令破解；主机系统的用户账号添加；服务启动或停止；系统重启动；文件的完整性或许可权变化；注册表修改；重要系统启动文件变更；程序的异常调用；拒绝服务攻击

网页防篡改系统属于典型的HID

基于主机的入侵检测系统的优点:

可以检测基于网络的入侵检测系统不能检测的攻击；基于主机的入侵检测系统可以运行在应用加密系统的网络上，只要加密信息在到达楼监控的主机时或到达前解密；基于主机的入侵检测系统可以运行在交换网络中。

基于主机的入侵检测系统的缺点:

必须在每个被监控的主机上都安装和维护信息收集模块; 由于HIDS的一部分安装在被攻击的主机上，HIDS可能受到攻击并被攻击者破坏；HIDS 占用受保护的主机系统的系统资源，降低了主机系统的性能；不能有效地检测针对网络中所有主机的网络扫描; 不能有效地检测和处理拒绝服务攻击; 只能使用它所监控的主机的计算资源。基于网络的入侵检测系统

基于网络的入侵检测系统，简称为NIDS 。NIDS通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为

构成多分为两部分:探测器和管理控制器

NIDS能够检测到的入侵行为

同步风暴(SYN Flood) ；分布式拒绝服务攻击(DDoS) ;网络扫描;缓冲区溢出;协议攻击:流量异常:非法网络访问

基于网络的入侵检测系统的优点

适当的配置可以监控一个大型网络的安全状况；基于网络的入侵检测系统的安装对已有网络影响很小，通常属于被动型的设备，只监听网络而不干扰网络的正常运作；基于网络的入侵检测系统可以很好地避免攻击，对于攻击者甚至是不可见的。

基于网络的入侵检测系统的缺点:

在高速网络中，NIDS很难处理所有的网络包，因此有可能出现漏检现象;交换机可以将网络分为许多小单元VLAN，而多数交换机不提供统一的监测端口，这就减少了基于网络的入侵检测系统的监测范围；如果网格流量被加密，NIDS中的探测器无法对数据包中的协议进行有效的分析；NIDS仅依靠网络流量无法推知命令的执行结果，从而无法判断攻击是否成功。分布式入侵检测系统

分布式入侵检测系统可以分成两种类型，即基于主机检测的分布式入侵检测系统和基于网络的分布式入侵检测系统。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼