目前,在安全市场上,最普遍的两种***检测产品是基于网络的网络***检测系统(NIDS)和基于主机的主机***检测系统(HIDS)。那么,NIDS与HIDS到底区别在哪里?用户在运用时该如何 选择呢?  
先来回顾一下IDS的解释:所谓***检测,就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其执行分析,从中发觉网络或系统中能不能有违反安全策略的行为和遭到袭击的迹象,并对此做出适当反应的流程。而***检测系统则是实现这些功能的系统。
这个解释是ICSA***检测系统论坛给出的。不难看出,IDS应该是包含了收集信息、分析信息、给出结论、做出反应四个流程。在IDS发展初期,想要全部实现这些功能在技能上是很难办到的,所以大家都从不同的出发点,开发了不同的IDS。一般情况下,我们都按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS,这也是目前运用最普遍的两种IDS,尤以NIDS运用 最为广泛。大部分IDS都采用“信息收集系统-分析控制系统”结构,即由安装在被监控信息源的探头(或代理)来收集有关的信息,然后按照一定形式传输给分析机,经过对有关信息的分析,按照事先设定的准则、策略等给出反应。

wKioL1QRFMfibMSVAAEAMxG5qQ4619.jpg


核心技能有差别  
HIDS将探头(代理)安装在受保卫系统中,它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,如对内核或API的调用,以此来防御***并对这些事件执行日志;还可以监测特定的系统文件和可执行文件调用,以及Windows NT下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。HIDS能对检测的***行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的***病毒,可能所有的杀病毒软件、IDS等等的病毒库、***库中都没有记载,但只要这个***程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发觉,并采取杀死进程、封掉账号,甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能,能够很好地与系统,甚至系统上的运用紧密结合。   
HIDS技能要求非常高,要求开发HIDS的企业对有关的操作系统非常了解,而且安装在主机上的探头(代理)必须非常可靠,系统占用小,自身安全性要好,否则将会对系统产生负面影响。HIDS关注的是到达主机的各种安全威胁,并不关注网络的安全。因为HIDS与操作系统紧密相联,美国等发达国家对于HIDS技能都是严格控制的,而独自执行有关HIDS系统的研发,成本非常高,所以国内专业从事HIDS的企业非常少。国内市场上能见到的HIDS产品只有:理工先河的“金海豚”、CA的eTrust(包含类似于HIDS的功能模块)、东方龙马HIDS(纯软件的)、曙光GodEye等屈指可数的多个 产品,而且能支持的操作系统也基本上都是Solaris、Linux、Wondows 2000非常少的多个。  
NIDS则是以网络包作为分析数据源。它通常运用 一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流,其分析模块通常运用模式匹配、统计分析等技能来识别***行为。一旦检测到了***行为,IDS的响应模块就作出适当的响应,比如报警、切断有关用户的网络连接等。与SCANER收集网络中的漏洞不同,NIDS收集的是网络中的动态流量信息。因此,***特征库数目多少以及数据处理能力,就决定了NIDS识别***行为的能力。大部分NIDS的处理能力还是100兆级的,部分NIDS已经达到1000兆级。NIDS设在防火墙后一个流动岗哨,能够适时发觉在网络中的***行为,并采取相应的响应方法。目前市场上最多见的***检测系统,绝大多数大都是NIDS,比如东软NetEye、联想网御、上海金诺KIDS、启明星辰天阗、NAI McAfee IntruShied、安氏LinkTrust等等。  
HIDS与NIDS虽然基本原理一样,但实现***检测的要领、流程和起到的作用都是不相同的,他们区别主要如上表所示。   
性能和效能标准不同  
在衡量IDS性能和效能的有关标准方面,HIDS和NIDS也有很大的不同。HIDS由于采取的是对事件和系统调用的监控,衡量它的技能指标非常少,一般用户须要考虑的是,该HIDS能够同时支持的操作系统数、能够同时监控的主机数、探头(代理)对主机系统的资源占用率、可以分析的协议数,另外更须要关注的是分析能力、数据传输形式、主机事件类的数目、响应的形式和速度、自身的抗***性、日志能力等等,一般我们采购HIDS须要看的是研发企业的背景、该产品的运用情况和实际的***测试。  
而NIDS就相比较较基本。NIDS采取的基本上都是模式匹配的形式,所以衡量NIDS的技能指标可以数量化。对于NIDS,我们要考察的是:支持的网络类型、IP碎片重组能力、可以分析的协议数、***特征库的数目、特征库的更新频率、日志能力、数据处理能力、自身抗***性等等。尤其要关注的是数据处理能力,一般的企业100兆级的足以应付;还有***特征库和更新频率,国内市场多见的NIDS的***特征数大概都在1200个以上,更新也基本上都是每月,甚至每周更新。采购NIDS须要留心的是漏报和误报,这是NIDS运用的大敌,也会因各开发企业的技能不同有所不同,所以,在采购时最好要做实际的洪水***测试。  
HIDS和NIDS这两个系统在很大程度上是互补的,许多机构的网络安全处理方案都同时采用了基于主机和基于网络的两种***检测系统。实际上,许多用户在运用 IDS时都配置了基于网络的***检测,但不能保证检测并能防止所有的***,特别是一些加密包的***,而网络中的DNS、Email和Web服务器经常是***的目标,但是,它们又必须与外部网络交互,不可能对其执行 全部屏蔽,所以,应当在各个服务器上安装基于主机的***检测系统。因此,即便是小规模的网络结构,也常常须要基于主机和基于网络的两种***检测能力。   
运用领域分化明显  
在运用领域上,HIDS和NIDS有明显的分化。NIDS的运用行业比较广,现在的电信、银行、金融、电子政务等领域运用得最好。由于我国的主要电信骨干网都部署了NIDS,所以2002年的大规模DoS***时,我们的骨干网并没有遭到破坏,而且以此为契机,NIDS高速地推广到各个运用领域,甚至可以说,“2004年NIDS的运用是沿着防火墙走的”。但在NIDS的运用流程中,最大的敌人就是误警和漏警。漏警不影响运用环境的可用性,只是用户的投资失误;而误警则有可能导致警报异常、网络紊乱,甚至运用的瘫痪。误警很多时候是配置不当造成的,许多用户基本把这些都归结为检测不正确率(False Positives),这是不正确的。由于技能的发展,NIDS的检测不正确率实际上已经很低了,我们要努力做的是与用户一起,深入理解运用 ,科学的配置,这才能有效减少误警率。所有说,运用不仅是NIDS厂商的事情,真实的主角应该是用户。HIDS的运用 ,远比NIDS要复杂的多。由于HIDS不像NIDS有许多可以数据化的技能指标,而且又要在被监控的主机上安装探头(代理),使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ,都非常谨慎。而对于国防、军工、机要保密等领域,对系统的安全、特别是信息安全要求比较高,而对系统的稳定性不是太敏感,而且更关注来自内部的***(一般这些领域的信息系统是不与公网相连的),所以对HIDS的运用比较容易接受,反而NIDS不是很看重。实际上,目前中国的HIDS市场也主要在这些领域。由于技能进步和信息安全威胁的添加,从2003年下半年开始,HIDS在其他领域的运用也慢慢多起来了。大型商业企业、数据中心企业以及电子政务系统也都将HIDS纳入了基本的安全结构当中。