基于主機的入侵檢測系統有什么優點

基于主機的入侵檢測系統有以下優點：

• 能夠確定攻擊是否成功：由于基于主機的IDS使用包含有確實已經發生的事件信息的日志文件作為數據源，因而比基于網絡的IDS更能準確地判斷出攻擊是否成功。在這一點上，基于主機的IDS可謂是基于網絡的IDS的完美補充。

• 非常適合于加密和交換環境：由于基于網絡的IDS是以網絡數據包作為數據源，因而對于加密環境來講，它是無能為力的，但對于基于主機的IDS就不同了，因為所有的加密數據在到達主機之前必須被解密，這樣才能被操作系統所解析。對于交換網絡來講，基于網絡的IDS在獲取網絡流量上面臨著很大的挑戰，但基于主機的IDS就沒有這方面的限制。

• 近實時的檢測和響應：基于主機的IDS不能提供真正的實時響應，但是由于現有的基于主機的IDS大多采取的是在日志文件形成的同時獲取審計數據信息，因而就為近實時的檢測和響應提供了可能。

• 不需要額外的硬件：基于主機的IDS是駐留在現有的網絡基礎設施之上的，包括文件服務器、Web服務器和其它的共享資源等，這樣就減少了基于主機的IDS的實施成本。因為不再需要增加新的硬件，所以也就減少了以后維護和管理這些硬件設備的負擔。

• 可監視特定的系統行為：基于主機的IDS可以監視用戶和文件的訪問活動，這包括文件訪問、文件權限的改變、試圖建立新的可執行文件和試圖訪問特權服務等。例如，基于主機的IDS可以監視所有的用戶登錄及注銷情況，以及每個用戶連接到網絡以后的行為。

回答所涉及的環境：聯想天逸510S、Windows 10。