「网络安全」安全设备篇（防火墙-IDS-IPS）( 七 )_什么是防火墙？防火墙是指设置在不同网

2. IDS模型

按侵检测的手段， IDS的入侵检测模型可分为基于网络和基于主机两种。

基于主机模型也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。这种模型有以下优点：

性能价格比高：在主机数量较少的情况下，这种方法的性能价格比更高；更加细致：可以很容易地监测一些活动，如敏感文件、目录、程序或端口的存取，而这些活动很难基于协议的线索发现；视野集中：一旦入侵者得到了一个主机用户名和口令，基于主机的代理是最有可能区分正常活动和非法活动的；易于用户剪裁：每一个主机有自己的代理，当然用户剪裁更加方便；较少的主机：基于主机的方法有时不需要增加专门的硬件平台；对网络流量不敏感：用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。基于网络模型即通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时，也一样会产生告警，并会向一个中心管理站点发出告警信号。这种模型有以下优点：