入侵检测系统类型

按数据源和系统结构分类，入侵检测系统可分为三类：基于主机的入侵检测系统，基于网络的入侵检测系统和集成入侵检测系统（hybrid）。

按数据源和系统结构分类，入侵检测系统可分为三类：基于主机的入侵检测系统，基于网络的入侵检测系统和集成入侵检测系统（hybrid）。 （1）基于主机的入侵检测系统基于主机的入侵检测系统只能检测特定主机上的入侵。保护通常是在重要的系统服务器，工作站或用户计算机上运行的主机系统。其输入数据来自计算机操作系统的事件日志，应用程序的事件日志，系统调用，端口调用和安全审计记录，因此依赖于服务器的固有日志记录和监视功能。基于主机的入侵检测系统在每个要保护的主机上运行代理，监视操作系统或系统事件的可疑活动，查找潜在的可疑活动，例如能够分辨入侵者的行为以及他们运行的程序。哪些文件是打开的，哪些系统调用是执行的，等等。（2）基于网络的入侵检测系统基于网络的入侵检测系统可以检测网段对网络的入侵。其输入数据来自网络上的信息包。这种类型的系统通常被动地监听网络上整个网络上的信息流，并通过捕获网络数据包进行分析。网络入侵检测系统能够检测来自网络的攻击以及超出授权的未授权访问。网络入侵检测系统不需要改变服务器等主机的配置，也不会影响系统的性能。 （3）基于网站建设网络和基于主机的入侵检测系统的集成入侵检测系统存在不足之处，导致防御系统不完善，结合基于网络和基于主机的集成入侵检测系统可以发现网络系统中的攻击信息也可以从系统日志中找到。集成入侵检测系统由多个组件组成，分布在网络的各个部分，分别完成相应的功能，用于数据采集和数据分析。通过中央控制单元生成数据聚合，分析和入侵报警。 在此配置中，不仅可以检测单个主机的入侵，还可以检测整个网络上的主机入侵。