入侵檢測系統采用網絡數據作為信息源有什么優勢

入侵檢測系統采用網絡數據作為信息源有以下優勢：

• 可以用獨立的主機進行檢測，網絡數據的收集和分析不會影響業務主機的運作性能。

• 以被動監聽的方式獲取數據包，不降低網絡性能。例如，包過濾防火墻在處理數據包時要先按照安全規則實施過濾，再進行轉發，這樣必然延長數據包的傳輸時間，而入侵檢測系統的被動監聽不存在此問題。

• 這種入侵檢測系統本身不容易遭受攻擊，因為其對于網絡用戶而言完全透明，攻擊者難以判斷網絡中是否存在入侵檢測系統，入侵檢測系統位于何處。

• 以網絡數據作為信息源的入侵檢測系統，相對于以主機數據作為信息源的入侵檢測系統而言，可以更快速、有效地檢測很多類型的網絡攻擊活動，如ARP欺騙、拒絕服務攻擊等。

• 網絡數據包遵循統一的通信協議，標準化程度高，可以便捷地將此類入侵檢測系統移植到不同的系統平臺上。

入侵檢測的特征檢測有以下實現方式：

• 模式匹配法：模式匹配法是一種最基本的特征檢測方法。采用這種檢測方法，需要將收集到的入侵特征轉換成模式，存放在模式數據庫中。在檢測過程中將收集到的數據信息與模式數據庫進行匹配，從而發現攻擊行為。模式匹配的具體實現手段多種多樣，可以是通過字符串匹配尋找特定的指令數據，也可以是采用正規的數學表達式描述數據負載內容。模式匹配技術非常成熟，檢測的準確率和效率都很高。

• 專家系統法：在此類入侵檢測系統中，入侵活動被編碼成專家系統的規則。規則采用“If條件Then動作”的形式，其中的條件是判定入侵發生的條件，其中的動作指的是在入侵條件滿足時檢測系統采取的應對措施。入侵檢測系統根據收集到的數據，通過條件匹配判斷是否出現了入侵并采取相應的動作。采用專家系統法的入侵檢測系統在實現上較為簡單，其缺點主要是處理速度比較慢，原因在于專家系統采用的是說明性的表達方式，要求用解釋系統來實現，而解釋器比編譯器的處理速度慢。另外，維護規則庫也需要大量的人力和精力，由于規則之間具有聯系性，更改任何一個規則都要考慮對其他規則的影響。

• 狀態遷移法：攻擊者在實施攻擊的過程中往往執行一系列的動作，這些動作將使系統從初始狀態逐步遷移到系統安全受到破壞的某個狀態。其中，初始狀態為攻擊開始前的系統狀態，而系統安全被破壞的狀態是攻擊成功實現的系統狀態，在這兩個狀態之間可能有一個或者多個中間狀態。系統的狀態信息可以用系統的一些屬性描述，體現系統在特定時間點的特征。采用狀態遷移法進行入侵檢測就是利用狀態轉換圖描述并檢測已知的入侵模式。此類入侵檢測系統保存入侵相關的狀態轉換圖表，并對系統的狀態信息進行監控，當用戶動作驅動系統狀態向入侵狀態遷移時觸發入侵警告。狀態遷移法能夠檢測出多方協同的慢速攻擊，但是如果攻擊場景復雜的話，要精確描述系統狀態非常困難。因此，狀態遷移法通常與其他的入侵檢測法結合使用。

回答所涉及的環境：聯想天逸510S、Windows 10。