基于主机的入侵检测系统

基于主机的入侵检测系统是根据主机的审计跟踪数据和系统的日志来发现可疑事件。它的目标环境是主机系统,检测的是本系统用户。

具有代表性的系统

最初的Haystack模型,MIDAS系统、IDES系统以及现在的CSM(Cooperating Security Manager)协作安全管理员和USTAT等。

优点

  • 操作简单,而且可针对不同操作系统的特点判定应用层的入侵事件。
  • 可以准确评估本地安全状态

缺点

  • 要占用主机宝贵的资源,成本较高

results matching ""

    No results matching ""