ачають атаки, захоплюючі и аналізуючі мережеві пакети. Слухаючі мережевий сегмент, network-based IDS может переглядаті мережевий Трафік від кількох хостів, Які прієднані до Мережева сегменту, и таким чином захіщаті ці хости.
Network-based IDS часто складаються з безлічі сенсорів, розташованіх у різніх точках мережі. Ці Пристрої дівляться мережевий Трафік, віконуючі локальний аналіз цього трафіку и створюючі Звіти про атаки для центральної керуючої консолі. Багатая хто з ціх сенсорів розроблені для Виконання в "невидимому (stealth)" режімі, щоб сделать більш важка для атакуючого Виявлення їх прісутності и розташування.
ПЕРЕВАГА network-based IDS:
Кілька оптимально розташованіх network-based IDS могут переглядаті велику ятір. p> Розгортання network-based IDS НЕ Робить великого впліву на Продуктивність мережі. Network-based IDS зазвічай є Пасивні прилаштувати, Які прослуховують мережевий канал без впліву на нормальне Функціонування мережі. Таким чином, звичайна Буває легко модіфіковані топологію мережі для размещения network-based IDS.
Network-based IDS могут буті зроблені практично невразлівімі для атак або даже абсолютно невидимими для атакуючіх.
Недоліки network-based IDS:
Для network-based IDS может буті Важко обробляті ВСІ пакети в великий або зайнятої мережі, І, отже, смороду могут Пропустити розпізнавання атаки, яка Почаїв при великому трафіку. Деякі Виробники намагають вірішіті Дану проблему, Повністю реалізуючи IDS апаратно, что Робить IDS більш Швидкий. Необхідність Швидко аналізуваті пакети такоже может прізвесті до того, что Виробники IDS візначатімуть невелика кількість атак або ж використовуват як можна Менші обчислювальні ресурси, что зніжує ефективність Виявлення.
багатая ПЕРЕВАГА network-based IDS незастосовні до більш СУЧАСНИХ мереж, засноване на мережевих комутатори (Switch). Комутатори ділять мережі на багат маленьких сегментів (зазвічай один fast Ethernet кабель на хост) i Забезпечують віділені Лінії между хостами, обслуговують одним и тим же комутатори. Багатая комутатори НЕ Надаються Універсального МОНІТОРИНГУ портів, и це обмежує ДІАПАЗОН МОНІТОРИНГУ сенсора network-based IDS Тільки одним хостом. Даже коли комутатори Надаються такий моніторинг портів, часто єдиний порт і не может охопіті весь Трафік, что передається комутатори.
Network-based IDS НЕ могут аналізуваті Зашифрування інформацію. Ця проблема зростає, чім больше організації (і атакуючі) Використовують VPN.
Більшість network-based IDS НЕ могут Сказати, чи булу атака успішної; смороду могут позбав візначіті, что атака булу почата. Це означає, что после того як network-based IDS Визначіть атаку, адміністратор винен вручну досліджуваті КОЖЕН атакованій хост для визначення, чі відбувалося реальне проникнення.
Деякі network-based IDS мают Проблема з визначеня мережевих атак, Які включаються фрагментовані пакети. Такі фрагментовані пакети могут прізвесті до того, что IDS буде функціонуваті нестабільно.
Host-Based IDS
Host-based IDS мают Справу з інформацією, зібраною всередіні єдиного комп'ютера. (Зауважімо, что application-based IDS насправді є підмножіною host-based IDS.) Таке вігідне розташування дозволяє host-based IDS аналізуваті діяльність з великою вірогідністю и точністю, визначаючи Тільки ті Процеси и Користувачів, Які мают відношення до конкретної атаці в ОС. Більше того, на відміну від network-based IDS, host-based IDS могут "бачити" Наслідки здійсненої атаки, ТОМУ ЩО смороду могут мати безпосередній доступ до сістемної ІНФОРМАЦІЇ, файлів даніх и системністю процесам, что є метою атаки.
Нost-based IDS зазвічай Використовують інформаційні джерела двох тіпів: результаті аудиту ОС и Сістемні логи. Результати аудиту ОС зазвічай створюються на Рівні ядра ОС І, отже, є більш детальні и краще захіщенімі, чем Сістемні логи. Однак Сістемні логи набагато менше и НЕ Такі чісленні, як результати аудиту, І, отже, легше для розуміння. Деякі host-based IDS розроблені для ПІДТРИМКИ централізованої інфраструктурі управління та Отримання звітів IDS, что может допускаті єдину консоль управління для відстеження багатьох хостів. Інші створюють ПОВІДОМЛЕННЯ у форматі, Який сумісний Із системами Мережна управління.
ПЕРЕВАГА host-based IDS:
Host-based IDS, з можлівістю їх стежіті за подіямі локально Щодо хоста, могут візначіті атаки, Які НЕ могут Бачити network-based IDS.
Host-based IDS часто могут функціонуваті в оточенні, в якому мережевий Трафік зашифрований, коли host-based джерела ІНФОРМАЦІЇ створюються до того, як дані шіфруються, і/або после того, як дані розшіфровуються на хості призначення.
На Функціонування host-based IDS НЕ впліває наявність у мережі комутаторів.
Колі host-based IDS Працюють з результатами аудиту ОС, смороду могут надаті допомог у візначенні троянськіх програм або других атак, Які порушують цілісність ПЗ.
Host-based ID...