基於主機的入侵檢測系統有哪些

① 入侵檢測系統的分類是什麼

根據其採用的技術可以分為異常檢測和特徵檢測。x0dx0ax0dx0a（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成x0dx0ax0dx0a（2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。x0dx0ax0dx0a（3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。x0dx0ax0dx0a根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。x0dx0ax0dx0a（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。x0dx0ax0dx0a（2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。x0dx0ax0dx0a（3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。x0dx0ax0dx0a根據工作方式分為離線檢測系統與在線檢測系統。x0dx0ax0dx0a（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。x0dx0ax0dx0a（2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

② IDS的分類

（1）按入侵檢測的手段、IDS的入侵檢測模型可分為基於網路和基於主機兩種。
1）基於主機模型
也稱基於系統的模型，它是通過分析系統的審計數據來發現可疑的活動，如內存和文件的變化等。其輸入數據主要來源於系統的審計日誌，一般只能檢測該主機上發生的入侵。
這種模型有以下優點：
一是性能價格比高：在主機數量較少的情況下，這種方法的性能價格比可能更高。
二是更加細致：這種方法可以很容易地監測一些活動，如對敏感文件、目錄、程序或埠的存取，而這些活動很難在基於協議的線索中發現。
三是視野集中：一旦入侵者得到了一個主機用戶名和口令，基於主機的代理是最有可能區分正常的活動和非法的活動的。
四是易於用戶剪裁：每一個主機有其自己的代理，當然用戶剪裁更方便了。
五是較少的主機：基於主機的方法有時不需要增加專門的硬體平台。
六是對網路流量不敏感：用代理的方式一般不會因為網路流量的增加而丟掉對網路行為的監視。
2）基於網路的模型
即通過連接在網路上的站點捕獲網上的包，並分析其是否具有已知的攻擊模式，以此來判別是否為入侵者。當該模型發現某些可疑的現象時也一樣會產生告警，並會向一個中心管理站點發出「告警」信號。
基於網路的檢測有以下優點：
一是偵測速度快：基於網路的監測器通常能在微秒或秒級發現問題。而大多數基於主機的產品則要依靠對最近幾分鍾內審計記錄的 分析。
二是隱蔽性好：一個網路上的監測器不像一個主機那樣顯眼和易被存取，因而也不那麼容易遭受攻擊。由於不是主機，因此一個基於網路的監視器不用去響應ping，不允許別人存取其本地存儲器，不能讓別人運行程序，而且不讓多個用戶使用它。
三是視野更寬：基於網路的方法甚至可以作用在網路的邊緣上，即攻擊者還沒能接入網路時就被制止。
四是較少的監測器：由於使用一個監測器就可以保護一個共享的網段，所以你不需要很多的監測器。相反地，如果基於主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難於管理。但是，如果在一個交換環境下，每個主機就得配一個監測器，因為每個主機都在自己的網段上。
五是占資源少：在被保護的設備上不用佔用任何資源。
這兩種模型具有互補性，基於網路的模型能夠客觀地反映網路活動，特別是能夠監視到主機系統審計的盲區；而基於主機的模型能夠更加精確地監視主機中的各種活動。基於網路的模型受交換網的限制，只能監控同一監控點的主機，而基於主機模型裝有IDS的監控主機可以對同一監控點內的所有主機進行監控。
（2）按入侵檢測的技術基礎可分為兩類：一種基於標志的入侵檢測（signature-based），另一種是基於異常情況的入侵檢測（anomaly-based）。
對於基於標識的檢測技術來說，首先要定義違背安全策略的事件的特徵，如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現，這有些類似殺毒軟體的工作原理。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、並用統計的辦法得出），然後將系統運行時的數值與所定義的「正常」情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在於如何精確定義所謂的「正常」情況。
往往兩種檢測方法所得出的結論會有非常大的差異。基於標志的檢測技術的核心是維護一個知識庫。對於已知的攻擊，它可以詳細、准確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。如果條件允許，兩者結合的檢測會達到更好的效果。
（3） 按輸入入侵檢測系統的數據的來源來分，可以分為三類：
1） 基於主機的入侵檢測系統：其輸入數據來源於系統的審計日誌，一般只能檢測該主機上發生的入侵；
2） 基於網路的入侵檢測系統：其輸入數據來源於網路的信息流，能夠檢測該網段上發生的網路入侵；
3） 採用上述兩種數據來源的分布式入侵檢測系統：它能夠同時分析來源於系統的審計日誌和來源於網路的信息流，這種系統一般由多個部件組成。
（4）按入侵檢測所採用的技術方法又可將其細分為下面四種方法：
一是基於用戶行為概率統計模型的入侵檢測方法：
這種入侵檢測方法是在對用戶歷史行為建模或在早期的證據或模型的基礎上，實時檢測用戶對系統的使用情況，根據系統內部保存的用戶行為概率統計模型進行檢測，當發現有可疑的用戶行為發生時，立即保持跟蹤並監測、記錄該用戶的行為。系統要根據每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當用戶改變他們的行為習慣時，這種異常就會被檢測出來。
二是基於神經網路的入侵檢測方法：
這種方法是利用神經網路技術來進行入侵檢測。這種方法對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效地加以處理並做出是否有入侵行為的判斷。但該方法還不成熟，目前還沒有出現較為完善的產品。
三是基於專家系統的入侵檢測技術：
該技術根據安全專家對可疑行為的分析經驗來形成一套推理規則，然後在此基礎上建立相應的專家系統，由此專家系統自動進行對所涉及的入侵行為進行分析。該系統可以隨著經驗的積累而不斷自我學習，並進行規則的擴充和修正。
四是基於模型推理的入侵檢測技術：
該技術根據入侵者在進行入侵時所執行的某些行為程序的特徵，建立一種入侵行為模型，根據這種行為模型所代表的入侵行為特徵來判斷用戶執行的操作是否是屬於入侵行為。當然這種方法也是建立在對當前已知的入侵行為程序的基礎之上的，對未知的入侵方法所執行的行為程序的模型識別需要進一步的學習和擴展。
以上幾種方法每一種都不能保證能准確地檢測出變化多端的入侵行為。因此在網路安全防護中要充分衡量各種方法的利弊，綜合運用這些方法才能有效地檢測出入侵者的非法行為。

③ 入侵檢測技術分類

根據系統各個模塊運行的分布不同，可以將入侵檢測系統分為如下兩類。

（1）集中式入侵檢測系統。集中式入侵檢測系統的各個模塊包括信息的收集和數據的分析以及響應單元都在一台主機上運行，這種方式適用於網路環境比較簡單的情況。

（2）分布式入侵檢測系統。分布式入侵檢測系統是指系統的各個模塊分布在網路中不同的計算機和設備上，分布性主要體現在數據收集模塊上，如果網路環境比較復雜或數據流量較大，那麼數據分析模塊也會分布，按照層次性的原則進行組織。

入侵檢測的對象，即要檢測的數據來源，根據要檢測的對象的不同，可將其分為基於主機的IDS和基於網路的IDS。也有人說這種分類是按照入侵檢測的數據來源分類。

（1）基於主機的IDS，英文為Host-besed IDS，行業上稱之為HDS。這種IDS系統獲取數據的來源是主機。它主要是從系統日誌、應用程序日誌等渠道來獲取數據，進行分析後來判斷是否有入侵行為，以保護系統主機的安全。

（2）基於網路的IDS，英文為Network-based IDS，行業上稱之為NIDS，系統獲取數據的來源是網路數據包。它主要是用來監測整個網路中所傳輸的數據包並進行檢測與分析，再加以識別，若發現有可疑情況即入侵行為立即報警，來保護網路中正在運行的各台計算機。

按照入侵檢測系統所採用的技術可以將其分為異常檢測、誤用檢測。

④ ids系統的基本部件

1. 入侵者進入我們的系統主要有三種方式： 物理入侵 、系統入侵、遠程入侵。

2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。

3. 入侵檢測系統由三個功能部分組成，它們分別是感應器（Sensor）、分析器(Analyzer)和管理器(Manager)。

4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和

基於網路的入侵檢測系統。

5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。

6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。

⑤ 什麼是IDS，它有哪些基本功能

IDS是入侵檢測系統。

（1）基於主機的IDS保護的是其所在的系統，運行在其所監視的系統之上；

（2）基於網路的IDS保護的是整個網段，部署於全部流量都要經過的某台設備上。

入侵檢測可分為實時入侵檢測和事後入侵檢測兩種。

實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

而事後入侵檢測則是由具有網路安全專業知識的網路管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防禦入侵的能力不如實時入侵檢測系統。

(5)基於主機的入侵檢測系統有哪些擴展閱讀：

按輸入入侵檢測系統的數據的來源來分，可以分為三類：

1、基於主機的入侵檢測系統：其輸入數據來源於系統的審計日誌，一般只能檢測該主機上發生的入侵；

2、基於網路的入侵檢測系統：其輸入數據來源於網路的信息流，能夠檢測該網段上發生的網路入侵；

3、採用上述兩種數據來源的分布式入侵檢測系統：它能夠同時分析來源於系統的審計日誌和來源於網路的信息流，這種系統一般由多個部件組成。

⑥ Wazuh簡介

Wazuh是一個安全檢測、可視化和安全合規開源項目。它最初是OSSEC HIDS的一個分支，後來與Elastic Stack和OpenSCAP集成在一起，發展成為一個更全面的解決方案。下面是這些工具的簡要描述以及它們的作用:

1.1OSSEC HIDS

OSSEC HIDS是一種基於主機的入侵檢測系統(HIDS)，用於安全檢測、可見性和遵從性監控。它基於一個多平台代理，將系統數據(如：日誌消息、文件散列和檢測到的異常)轉發給一個中央管理器，並在其中對其進行進一步分析和處理，從而產生安全警報。代理將事件數據通過安全且經過身份驗證的通道傳遞給中央管理器，以便進行分析。

此外，OSSEC HIDS提供了一個集中的syslog伺服器和一個無代理的配置監視系統，該系統提供了對防火牆、交換機、路由器、接入點、網路設備等無代理設備上的事件和更改的安全洞察。

1.2OpenSCAP

OpenSCAP是一種OVAL(開放漏洞評估語言)和XCCDF(可擴展配置檢查表描述格式)解釋器，用於檢查系統配置和檢測脆弱應用程序。

這是一種眾所周知的工具，用於檢查安全合規性和使用工業標准安全基線對企業環境的加固。

1.3Elastic Stack

Elastic Stack是一個軟體套件(Filebeat、Logstash、Elasticsearch、Kibana)，用於收集、解析、索引、存儲、搜索和顯示日誌數據。它提供了一個web前端，該前端提供事件的高級儀錶板視圖，支持深入到事件數據存儲的高級分析和數據挖掘。

二、組件

Wazuh的主要組件是運行在每個受監控主機上的代理，以及分析從代理和syslog等無代理源接收到的數據的伺服器。此外，伺服器將事件數據轉發到一個Elasticsearch集群，在這里對信息進行索引和存儲。

2.1Wazuh agent

Wazuh代理運行在Windows、Linux、Solaris、BSD和Mac操作系統上。它用於收集不同類型的系統和應用程序數據，這些數據通過加密和經過身份驗證的通道轉發給Wazuh伺服器。為了建立這個安全通道，使用了一個包含唯一預共享密鑰的注冊過程。

代理可以用來監視物理伺服器、虛擬機和雲實例(例如Amazon AWS、Azure或谷歌雲)。預編譯的代理安裝包可用於Linux、HP-UX、AIX、Solaris、Windows和Darwin (Mac OS X)。

在基於Unix的操作系統上，代理運行多個進程，這些進程通過本地Unix域套接字相互通信。其中一個進程負責向Wazuh伺服器發送通信和數據。在Windows系統上，只有一個代理進程使用互斥對象運行多個任務。

不同的代理任務或過程以不同的方式監視系統(例如，監視文件完整性、讀取系統日誌消息和掃描系統配置)。

下圖表示在代理級別上發生的內部任務和流程:

所有代理進程都有不同的目的和設置。以下是他們的簡要說明:

Rootcheck:這個過程執行多個與檢測rootkit、惡意軟體和系統異常相關的任務。它還對系統配置文件運行某些基本的安全檢查。

日誌收集器 Log Collector :此代理組件用於讀取操作系統和應用程序日誌消息，包括平面日誌文件、標准Windows事件日誌甚至Windows事件通道。還可以將其配置為定期運行並捕獲特定命令的輸出。

Syscheck:這個過程執行文件完整性監視(FIM)，也可以監視Windows系統上的注冊表項。它能夠檢測文件的內容、所有權和其他屬性的變化，以及記錄文件的創建和刪除。雖然它在默認情況下執行定期的FIM掃描，但它也可以配置為與操作系統內核通信，以便實時檢測文件更改並生成文本文件的詳細更改報告(diffs)。

OpenSCAP:該模塊使用已發布的OVAL(開放漏洞評估語言)和XCCDF(可擴展配置檢查表描述格式)基線安全概要。通過定期掃描系統，它可以找到不符合眾所周知的標準的脆弱的應用程序或配置，例如在CIS(互聯網安全中心)基準測試中定義的那些。

代理守護進程 Agent Daemon :這個進程接收所有其他代理組件生成或收集的數據。它通過經過身份驗證的通道將數據壓縮、加密並交付給伺服器。這個進程運行在一個獨立的「chroot」(更改根)環境中，這意味著它對被監視系統的訪問是有限的。這提高了代理的整體安全性，因為它是連接到網路的唯一進程。

2.2Wazuh server

伺服器組件負責分析從代理接收的數據，並在事件匹配規則時觸發警報(例如檢測到入侵、文件更改、配置不符合策略、可能的rootkit等)。

伺服器通常運行在獨立的物理機器、虛擬機或雲實例上，並運行代理組件，其目的是監視伺服器本身。以下是主要伺服器組件列表:

注冊服務 Registration service :通過提供和分發每個代理特有的預共享身份驗證密鑰來注冊新代理。此流程作為網路服務運行，支持通過TLS/SSL和/或通過固定密碼進行身份驗證。

遠程守護進程服務 Remote daemon service :這是從代理接收數據的服務。它使用預共享密鑰來驗證每個代理的身份，並加密代理和管理器之間的通信。

分析守護進程 Analysis daemon :這是執行數據分析的進程。它利用解碼器識別正在處理的信息類型(如Windows事件、SSHD日誌、web伺服器日誌等)，然後從日誌消息(如源ip、事件id、用戶等)中提取相關數據元素。接下來，通過使用規則，它可以識別解碼後的日誌記錄中的特定模式，這些模式可能觸發警報，甚至可能調用自動對策(主動響應)，比如防火牆上的IP禁令。

RESTful API RESTful API :這提供了一個介面來管理和監視代理的配置和部署狀態。它也被一個Kibana應用程序Wazuh web界面所使用。

2.3Elastic Stack

Elastic Stack是一個流行的用於日誌管理的開源項目的統一套件，包括Elasticsearch、Logstash、Kibana、Filebeat等。與Wazuh解決方案特別相關的項目有:

Elasticsearch :一個高度可伸縮，全文搜索和分析引擎。彈性搜索被分配，意味著數據(索引)被分成shard，並且每個shard可以具有零個或更多個副本。

Logstash:收集和解析要保存到存儲系統中的日誌的工具(例如，Elasticsearch)。收集到的事件還可以使用輸入、過濾和輸出插件進行豐富和轉換。

Kibana:一個靈活和直觀的web界面，用於挖掘、分析和可視化數據。它運行在一個Elasticsearch集群上索引的內容之上。

Filebeat:一種輕量級轉發器，用於在網路中傳送日誌，通常用於Logstash或Elasticsearch。

Wazuh與Elastic Stack集成，提供已解碼的日誌消息提要，這些日誌消息將由Elasticsearch索引，以及用於警報和日誌數據分析的實時web控制台。此外，Wazuh用戶界面(運行在Kibana之上)可用於管理和監視您的Wazuh基礎設施。

Elasticsearch索引是具有某些相似特徵(如某些公共欄位和共享數據保留需求)的文檔集合。Wazuh每天使用多達三種不同的索引來存儲不同的事件類型:

Wazuh -alerts:每當事件觸發規則時，Wazuh伺服器生成警報的索引。

wazuh-events:從代理接收的所有事件(歸檔數據)的索引，無論它們是否觸發規則。

wazuh-monitoring:索引與代理狀態相關的數據。web介面使用它表示單個代理處於或已經處於「活動」、「斷開」或「從未連接」的情況。

索引是由文檔組成的。對於上面的索引，文檔是單個警報、歸檔事件或狀態事件。

將Elasticsearch索引分成一個或多個shard，並且每個shard可以選擇性地具有一個或多個副本。每一主和副本shard是單個的Lucene索引。因此，一個Elasticsearch索引是由許多Lucene索引組成的。當搜索在Elasticsearch索引上運行時，將並行地對所有shard執行搜索，並合並結果。將Elasticsearch索引分成多個shard和復製品用於多節點的彈性搜索集群，目的是縮小搜索和獲得高可用性。單節點Elasticsearch集群通常每個索引只有一個shard，沒有副本。

三、體系結構

Wazuh架構基於運行在受監視主機上的代理，這些主機將日誌數據轉發到中央伺服器。此外，還支持無代理設備(如防火牆、交換機、路由器、接入點等)，並可以通過syslog和/或其配置更改的定期探針主動提交日誌數據，以便稍後將數據轉發到中央伺服器。中央伺服器對輸入的信息進行解碼和分析，並將結果傳遞給一個Elasticsearch集群進行索引和存儲。

一個Elasticsearch集群是一個或多個節點(伺服器)的集合，這些節點(伺服器)相互通信，對索引執行讀寫操作。小型Wazuh部署(<50個代理)可以由單節點集群輕松處理。當存在大量受監控系統、預期會有大量數據和/或需要高可用性時，建議使用多節點集群。

當Wazuh伺服器和Elasticsearch集群在不同的主機上時，Filebeat可使用TLS加密將Wazuh警報和/或存檔事件安全地轉發到Elasticsearch伺服器。

下圖說明了Wazuh伺服器和Elasticsearch集群在不同主機上運行時組件是如何分布的。注意，對於多節點集群，將有多個Elastic堆棧伺服器，Filebeat可以將數據轉發到這些伺服器:

在較小的Wazuh部署中，使用單節點Elasticsearch實例的Wazuh和Elastic堆棧都可以部署在單個伺服器上。在這個場景中，Logstash可以直接從本地文件系統讀取Wazuh警報和/或歸檔事件，並將它們提供給本地Elasticsearch實例。

四、通信與數據流

4.1代理-伺服器通信

Wazuh代理使用OSSEC消息協議通過埠1514 (UDP或TCP)將收集到的事件發送到Wazuh伺服器。然後，Wazuh伺服器解碼並使用分析引擎對接收到的事件進行規則檢查。觸發規則的事件會被添加警告數據，如規則id和規則名稱。根據規則是否觸發，可以將事件存儲到以下一個或兩個文件:

文件/var/ossec/logs/archives/archives.json包含所有事件，不管它們是否觸發了規則。

文件/var/ossec/logs/alerts/alerts.json只包含觸發規則的事件。

Wazuh消息協議使用的是192位Blowfish加密，完全實現了16輪，或者AES加密，每塊128位，密鑰256位。

4.2Wazuh-Elastic通信

在大型部署中，Wazuh伺服器使用Filebeat使用TLS加密將警報和事件數據發送到彈性堆棧伺服器上的loghide (5000/TCP)。對於單主機架構，Logstash可以直接從本地文件系統讀取事件/警報，而無需使用Filebeat。

Logstash對輸入的數據進行格式化，並可選擇在將數據發送到Elasticsearch(埠9200/TCP)之前豐富GeoIP信息。一旦數據被索引到Elasticsearch，就會使用Kibana(埠5601/TCP)來挖掘和可視化信息。

Wazuh APP運行在Kibana內部，不斷查詢RESTful API (Wazuh管理器上的埠55000/TCP)，以便顯示伺服器和代理的配置和狀態相關信息，並在需要時重新啟動代理。此通信使用TLS加密，並使用用戶名和密碼進行身份驗證。

五、所需埠

對於安裝Wazuh和Elastic堆棧，必須有幾個網路埠可用並打開，以便不同組件之間能夠正確通信。

六、檔案數據存儲

除了發送到Elasticsearch之外，警報和非警報事件都存儲在Wazuh伺服器上的文件中。這些文件可以是JSON格式(. JSON)和/或純文本格式(日誌-沒有解碼欄位，但更緊湊)。這些文件每天使用MD5和SHA1校驗和進行壓縮和簽名。目錄和文件名結構如下:

建議根據Wazuh Manager伺服器的存儲容量對歸檔文件進行輪換和備份。通過使用cron作業，您可以很容易地安排只在管理器上保留一個特定的存檔文件時間窗口(例如，去年或過去三個月)。

另一方面，您可以選擇完全不存儲歸檔文件，而僅僅依賴於Elasticsearch來存儲歸檔文件，特別是在運行定期的Elasticsearch快照備份和/或具有碎片副本的多節點Elasticsearch集群以獲得高可用性時。您甚至可以使用cron作業將快照索引移動到最終的數據存儲伺服器，並使用MD5和SHA1演算法對其進行簽名。

⑦ 入侵檢測系統可以分為哪幾類

分為兩類：

1、信息來源一類：基於主機IDS和基於網路的IDS。

2、檢測方法一類：異常入侵檢測和誤用入侵檢測。

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS最早出現在1980年4月。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。

(7)基於主機的入侵檢測系統有哪些擴展閱讀：

對IDS的要求：

IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。

因此，IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一台交換機上；重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。

⑧ 開源主機入侵檢測系統(HIDS)

1

OSSEC

OSSEC是一款 開源 的多平台的 入侵檢測系統 ，可以運行於Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系統中。包括了日誌分析，全面檢測，root-kit檢測。作為一款HIDS，OSSEC應該被安裝在一台實施監控的系統中。另外有時候不需要安裝完全版本的OSSEC，如果有多台電腦都安裝了OSSEC，那麼就可以採用客戶端/伺服器模式來運行。客戶機通過客戶端程序將數據發回到伺服器端進行分析。在一台電腦上對多個系統進行監控對於企業或者家庭用戶來說都是相當經濟實用的。

功能有日誌分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。除了具有入侵檢測系統功能外，它還一般被用在SEM/SIM（安全事件管理（SEM： Security Event Management）/安全信息管理（SIM：SecurityInformation Management））解決方案中。因其強大的日誌分析引擎，ISP（Internet service provider）（網路服務提供商）、大學和數據中心用其監控和分析他們的防火牆、 入侵檢測系統 、網頁服務和驗證等產生的日誌。

2

AIDE

⑨ 入侵檢測的分類情況

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 （警報）
當一個入侵正在發生或者試圖發生時，IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器，alert信息將顯示在監視器上，也可能伴隨著聲音提示。如果是遠程式控制制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協議，通常不加密）、email、SMS（簡訊息）或者以上幾種方法的混合方式傳遞給管理員。 （異常）
當有某個事件與一個已知攻擊的信號相匹配時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主機或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能，但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。 （IDS硬體）
除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢測系統。
ARIS：Attack Registry & Intelligence Service（攻擊事件注冊及智能服務）
ARIS是SecurityFocus公司提供的一個附加服務，它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發布在網路上。它的URL地址是。 （攻擊）
Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型：
攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。
攻擊類型2－DDOS（Distributed Denial of Service，分布式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊，卻無法發出足夠的信息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主機一個目標發動攻擊，耗盡遠程系統的資源，或者使其連接失效。
攻擊類型3－Smurf：這是一種老式的攻擊，還時有發生，攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作，然後所有活動主機都會向該目標應答，從而中斷網路連接。
攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中，它原本是指那些以合法程序的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當用戶運行合法程序時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。 （自動響應）
除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦方式有很多：首先，可以通過重新配置路由器和防火牆，拒絕那些來自同一地址的信息流；其次，通過在網路上發送reset包切斷連接。但是這兩種方式都有問題，攻擊者可以反過來利用重新配置的設備，其方法是：通過偽裝成一個友方的地址來發動攻擊，然後IDS就會配置路由器和防火牆來拒絕這些地址，這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路介面位於防火牆內，或者使用專門的發包程序，從而避開標准IP棧需求。 （Computer Emergency Response Team，計算機應急響應小組）
這個術語是由第一支計算機應急反映小組選擇的，這支團隊建立在Carnegie Mellon大學，他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT，比如CNCERT/CC（中國計算機網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即計算機事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。 （Common Intrusion Detection Framework；通用入侵檢測框架）
CIDF力圖在某種程度上將入侵檢測標准化，開發一些協議和應用程序介面，以使入侵檢測的研究項目之間能夠共享信息和資源，並且入侵檢測組件也能夠在其它系統中再利用。 （Computer Incident Response Team，計算機事件響應小組）
CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 （Common Intrusion Specification Language，通用入侵規范語言）
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試，因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。 （Common Vulnerabilities and Exposures，通用漏洞披露）
關於漏洞的一個老問題就是在設計掃描程序或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE創建了CVE，將漏洞名稱進行標准化，參與的廠商也就順理成章按照這個標准開發IDS產品。 （自定義數據包）
建立自定義數據包，就可以避開一些慣用規定的數據包結構，從而製造數據包欺騙，或者使得收到它的計算機不知該如何處理它。 （同步失效）
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建數據。這一技術在1998年很流行，已經過時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。 （列舉）
經過被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。 （躲避）
Evasion是指發動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標，無害的部分就會被丟掉，只剩下有害的。 （漏洞利用）
對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式，這個方式就是Exploit。為了攻擊系統，黑客會利用漏洞編寫出程序。
漏洞利用：Zero Day Exploit（零時間漏洞利用）
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程序，並在IDS中寫入其特徵標識信息，使這個漏洞利用無效，有效地捕獲它。 （漏報）
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives（誤報）
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls（防火牆）
防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准，如源地址、埠等，將危險連接阻擋在外。 （Forum of Incident Response and Security Teams，事件響應和安全團隊論壇）
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視。 （分片）
如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。 （啟發）
Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟發式IDS。但實際上，真正應用AI技術對輸入數據進行分析的IDS還很少很少。 （Honeynet工程）
Honeynet是一種學習工具，是一個包含安全缺陷的網路系統。當它受到安全威脅時，入侵信息就會被捕獲並接受分析，這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。 （蜜罐）
蜜罐是一個包含漏洞的系統，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。 （IDS分類）
有許多不同類型的IDS，以下分別列出：
IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。 （Intrusion Detection Working Group，入侵檢測工作組）
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟，這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。 （事件處理）
檢測到一個入侵只是開始。更普遍的情況是，控制台操作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，操作員會在感興趣的事件上做出標志以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。 （事件響應）
對檢測出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程序進行處理。 （孤島）
孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。 （混雜模式）
默認狀態下，IDS網路介面只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網路介面是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）埠。
Routers（路由器）
路由器是用來連接不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表（ACLs），允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴信息。 （掃描器）
掃描器是自動化的工具，它掃描網路和主機的漏洞。同入侵檢測系統一樣，它們也分為很多種，以下分別描述。
掃描器種類1－NetworkScanners（網路掃描器）：網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢測出來。為了變得隱蔽，出現了一些新技術，例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是：不同的操作系統對這些掃描會有不同的反應，從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2－Network Vulnerability Scanners（網路漏洞掃描器）：網路漏洞掃描器將網路掃描器向前發展了一步，它能檢測目標主機，並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。
掃描器種類3－Host VulnerabilityScanners（主機漏洞掃描器）：這類工具就像個有特權的用戶，從內部掃描主機，檢測口令強度、安全策略以及文件許可等內容。網路IDS，特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions，它是一個遠程Windows漏洞掃描器，並且能自動修復漏洞。還有如ISS資料庫掃描器，會掃描資料庫中的漏洞。 （腳本小子）
有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的中學生乾的，他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。 （躲避）
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包，有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。 （特徵）
IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標准，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包含了更多的特徵，是更好的IDS。大家一定要清楚這些。 （隱藏）
隱藏是指IDS在檢測攻擊時不為外界所見，它們經常在DMZ以外使用，沒有被防火牆保護。它有些缺點，如自動響應。

⑩ 什麼是基於主機的入侵檢測系統，有什麼優缺點

入侵檢測系統（intrusion detection system，簡稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。

優點是：1、IDS是一種積極主動的安全防護技術。

2、實時監視系統。
3、在沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。