一般來說入侵檢測系統由3部分組成,分別是事件產生器,事件分析器和響應單元,通常,這3部分分別運行在3臺獨立的主機上,對于IDS而方,事件產生器所在的位置是十分重要的,因為它決定了事件的可見度.
   對于主機型IDS,其事件產生器位于其所監測的主機上.
   對于網絡型IDS,其事件產生器的位置有多種可能,如果網段用總線式的集線哭喊 相連,則可將其簡單地接在集線器的一個端口上,對于交換式以太網交換機,問題則會變得復雜.由于交換機不采用共享媒質的辦法,傳統的采用一個sniffer來監聽整個子網的辦法則不再可行,解決的辦法有:
1.交換機的核心芯片上一般有一個用于高度的端口,任何其他商品的進出信息都可從此得到,如果交換廠商把此端口開放出來,用戶可將IDS系統接到此端口上,這種方法的優點是無須改變IDS體系結構,缺點是采用此端口會降低交換機性能.
2.把入侵檢測系統放在交換機內部或防火墻內部等數據流的關鍵出入口,這種方法的優點是可以得到幾乎所有的關鍵數據,缺點是必須與其他廠商緊密合作,并且會降低網絡性能.
3.采用分接器,將其接在所有要監測的線路上,這種方法的優點是在不降低網絡性能的前提下收集了所需要的信息,缺點是必須購買額外的設備.

瀏覽:次