一般來說入侵檢測系統(tǒng)由3部分組成,分別是事件產生器,事件分析器和響應單元,通常,這3部分分別運行在3臺獨立的主機上,對于IDS而方,事件產生器所在的位置是十分重要的,因為它決定了事件的可見度.
   對于主機型IDS,其事件產生器位于其所監(jiān)測的主機上.
   對于網絡型IDS,其事件產生器的位置有多種可能,如果網段用總線式的集線哭喊 相連,則可將其簡單地接在集線器的一個端口上,對于交換式以太網交換機,問題則會變得復雜.由于交換機不采用共享媒質的辦法,傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網的辦法則不再可行,解決的辦法有:
1.交換機的核心芯片上一般有一個用于高度的端口,任何其他商品的進出信息都可從此得到,如果交換廠商把此端口開放出來,用戶可將IDS系統(tǒng)接到此端口上,這種方法的優(yōu)點是無須改變IDS體系結構,缺點是采用此端口會降低交換機性能.
2.把入侵檢測系統(tǒng)放在交換機內部或防火墻內部等數(shù)據流的關鍵出入口,這種方法的優(yōu)點是可以得到幾乎所有的關鍵數(shù)據,缺點是必須與其他廠商緊密合作,并且會降低網絡性能.
3.采用分接器,將其接在所有要監(jiān)測的線路上,這種方法的優(yōu)點是在不降低網絡性能的前提下收集了所需要的信息,缺點是必須購買額外的設備.

瀏覽:次