>>>>>>2017年通信工程師沖刺班，考前突擊，快速備考！

       離2017年通信互聯網技術考試不到一個月的時間了，大家需抓緊時間備考。下面希賽小編為大家整理了些通信互聯網技術的考試知識點，下文是入侵檢測系統分類。希望能幫助大家！

       入侵檢測系統分類：

       從技術上看，基本上分為以下幾類：基于網絡和基于主機的入侵檢測系統。混合入侵檢測系統可以彌補一些基于網絡與基于主機的片面性缺陷。有時候，文件的完整性檢査工具也可看做是一類入侵檢測產品。

       1.基于網絡的入侵檢測

       基于網絡的入侵檢測系統（NIDS)放置在比較重要的網段內，不停地監視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與內置的某些規則吻合，入侵檢測系統就會發出聱報甚至直接切斷網絡連接。目前，大部分入侵檢測產品是基于網絡的。典型的網絡入侵檢測系統有Snort、NFR,Shadow等。

       (1)優點

       NIDS能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。

       一個N1DS不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

       由于NIDS不像路由器、防火墻等關鍵設備方式工作，它不會成為系統中的關鍵路徑。NIDS發生故障不會影響正常業務的運行。部署一個NIDS的風險比主機入侵檢測系統的風險少得多。

       NIDS近年內有向專門的設備發展的趨勢，安裝這樣的一個NIDS非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網絡上即可。

       (2)弱點

       NIDS只檢査它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺NIDS的傳感器會使部署整個系統的成本大大增加。

       NIDS為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。

       NIDS可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流景。一些系統在實現時采用一定方法來減少回傳的數據撒，對入侵判斷的決策由傳感器實現，而中央控制臺成為狀態顯示與通信中心，不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。

       NIDS處理加密的會話過程較困難，目前通過加密通道的攻擊還不多，但隨著IPv6的普及，這個問題會越來越突出。

       2.基于主機的入侵檢測

       基于主機的入侵檢測系統（HIDS〉通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統計規律)，入侵檢測系統就會采取相應措施。

       (1)優點

       HIDS對分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執行一些“危險的命令”之外，還能分辨出入侵者做了什么事，運行了什么程序，打開了哪些文件，執行了哪些系統調用。HIDS與NIDS相比通常能夠提供更詳盡的相關信息。

       因為檢測在主機上運行的命令序列比檢測網絡流更簡單，系統的復雜性也少得多，所以在通常情況下HIDS比N1DS誤報率要低。

       HIDS可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。

       (2)弱點

       HIDS安裝在霈要保護的設備上，這會降低應用系統的效率，也會帶來一些額外的安全問題。HIDS依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必須重新配置。HIDS只監測自身的主機，不監測網絡上的情況。

       3.混合入侵檢測

       基于網絡的入侵檢測產品和基于主機的入侵檢測產品都有不足之處，單純使用一類產品會造成主動防御體系不全面。如果這兩類產品能夠無縫結合起來部署在網絡內.則會構架成一套完整立體的主動防御體系，既可發現網絡中的攻擊信息，也可從系統日志中發現異常情況。

       4.文件完整性檢査

       文件完整性檢查系統檢査計算機中自上次檢査后文件變化情況。文件完整性檢査系統保存有每個文件的信息摘要數據庫，每次檢査時，重新計算文件的信息摘要并將它與數據庫中的值相比較，如不同，則文件已被修改；若相同，文件則未發生變化。

       文件的信息摘要通過Hash由數計算得到。通常采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結果。

       (1)優點

       從數學上分析，攻克文件完整性檢查系統，無論是時間上還是空間上都是不可能的。

       文件完整性檢査系統具有相當的靈活性，可以配置成為監測系統中所有文件或某些重要文件。

       入侵者攻擊系統時，首先，他要掩蓋他的蹤跡，即要通過更改系統中的可執行文件、庫文件或日志文件來隱藏他的活動；其次，他要做一些改動保證下次能夠繼續入侵。這兩種活動都能夠被文件完整性檢查系統檢測出》

       (2)弱點

       文件完整性檢查系統依賴于本地的信息摘要數據庫。與日志文件一樣，這些數據可能被入侵者修改。當一個入侵者取得管理員權限后，在完成破壞活動后，可以運行文件完整性檢查系統更新數據庫，從而瞞過系統管理員。當然，可以將信息摘要數據庫放在只讀的介質上，但這樣的配置不夠靈活性。

       做一次完整的文件完整性檢查是一個非常耗時的工作。

       系統有些正常的更新操作可能會帶來大量的文件更新，從而產生比較繁雜的檢查與分析工作。例如，在WindowsNT操作系統中升級MicrosoftOutlook將會引起1800多個文件變化

       >>>>>>點擊進入了解更多中級通信工程師（綜合能力）備考知識點集錦

       希賽網，擁有8年的通信工程師考試培訓經驗，希賽網一直堅持自主研發，將豐富的培訓經驗有效融入教程研發過程，自成體系的在線題庫（歷年真題）、培訓教材和視頻教程，多樣的培訓方式包括面授、和網絡課堂，使考生的學習更具系統性，輔輔更具針對性。采用全程督學機制，幫助學員順利通過考試。