基于网络的入侵检测系统有什么缺点？

一、基于网络的入侵检测系统有什么缺点？

入侵检测系统的优点：

1.能够使现有的安防体系更完善。

2.能够更好地掌握系统的情况。

3.能够追踪攻击者的攻击线路。

4.界面友好，便于建立安防体系。

5.能够抓住肇事者。入侵检测系统的缺点：1.不能够在没有用户参与的情况下对攻击行为展开调查。2.不能够在没有用户参与的情况下阻止攻击行为的发生。3.不能克服网络协议方面的缺陷。4.不能克服设计原理方面的缺陷。5.响应不够及时，签名数据库更新得不够快。

6.经常是事后才检测到，适时性不好。

二、入侵检测系统与入侵防御系统有哪些异同？

入侵检测系统 (Intrusion Detection System, IDS) 和入侵防御系统 (Intrusion Prevention System, IPS) 有一些明显的相似之处，但也有一些显著的差异。

相似之处：

都是网络安全技术：IDS 和 IPS 都是用于保护网络安全的技术。

都是防止恶意攻击：两种系统都旨在防止黑客和其他恶意攻击者通过网络进行攻击。

差异：

功能不同：IDS 的主要功能是监测网络中的恶意活动并通知管理员，而 IPS 的主要功能是防止恶意攻击通过网络到达目标。

速度不同：IDS 比 IPS 慢，因为它只是监测恶意活动，而 IPS 能够实时防止恶意活动。

实施方式不同：IDS 通常在网络的入口实施，而 IPS 通常在网络的内部实施。

管理不同：IDS 的管理更为简单，而 IPS 的管理更加复杂，需要更高的技术知识。

总的来说，IDS 和 IPS 都是重要的网络安全技术，但各自适用于不同的场景。根据网络的需求和威胁，可以选择不同的系统来保护网络安全。

三、入侵检测系统的优缺点有哪些？

入侵检测系统的优点：

1.能够使现有的安防体系更完善。

2.能够更好地掌握系统的情况。

3.能够追踪攻击者的攻击线路。

4.界面友好，便于建立安防体系。

5.能够抓住肇事者。 入侵检测系统的缺点： 1. 不能够在没有用户参与的情况下对攻击行为展开调查。 2. 不能够在没有用户参与的情况下阻止攻击行为的发生。 3. 不能克服网络协议方面的缺陷。 4.不能克服设计原理方面的缺陷。 5. 响应不够及时，签名数据库更新得不够快。

6.经常是事后才检测到，适时性不好。

四、基于遗传算法的入侵检测技术特点？

经现代医学研究表明，DNA是现存生命最重要的遗传物质。而遗传则是指经由基因的传递，使后代获得亲代的特征。遗传学正是研究遗传这一现象的一门学科，除遗传因素外，还有环境，以及环境与遗传的交互作用也是决定生物特征的因素。 遗传算法是一种可用于复杂系统优化的一种搜索算法，与传统的算法相比，具有以下4个特点：

第一，它是以决策变量的编码作为运算对象；

第二，遗传算法直接以适应度作为搜索信息，无需导数等其他辅助信息；

第三，遗传算法使用多个点的搜索信息，具有隐含并行性；

最后，它没有使用非确定性规则，而是采用了概率搜索技术。

五、入侵检测系统异常检测方法有什么？

1）特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

2）统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。

统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

3）专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

4）文件完整性检查

文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如MD5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。

六、什么是入侵检测，以及入侵检测的系统结构组成？

入侵检测是防火墙的合理补充。 入侵检测的系统结构组成：

1、事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、事件分析器：它经过分析得到数据，并产生分析结果。

3、响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4、事件数据库：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

七、基于rhel的系统有哪些？

CentOS Linux发行版

虽然缺少RHEL提供的商业支持，但CentOS因其稳定的稳定性、企业级的安全性以及与RHEL的二进制兼容性而闻名。因此，它是web服务器的最佳选择。事实上，CentOS是一个首选的选择在网络托管行业，特别是由于它的稳定性和提供突出的WHM/cPanel控制面板，允许用户管理他们的域。

2、Fedora

Fedora是RedHat Linux的上游社区发行版。它是一个通用的发行版，由Red Hat赞助的Fedora项目开发和维护。它有一个庞大的社区，在将软件包提供给RHEL或CentOS之前，它主要被开发人员用作开发和测试软件包的中心。

3、Oracle Linux

Oracle Linux是一个企业级操作系统，与Red Hat Enterprise Linux 100％二进制兼容。它结合了RHEL的稳定性和企业级安全性，以及Oracle开发团队提供的灵活性和附加安全性，为低成本企业提供了一个强大而强大的选择。

Oracle Linux是免费下载的，完全没有订阅费，并且免费提供了所有安全更新和补丁。可能涉及的唯一成本是支持成本，该成本大大低于Red Hat Enterprise Linux的成本。此外，与RHEL相比，Oracle Linux提供了更多的支持选项。值得注意的是Ksplice零宕机时间修补服务，该服务可帮助您使用重要更新来更新系统，而无需重新启动服务器。

4、ClearOS

ClearOS被描述为一个基于CentOS和RHEL(红帽企业Linux)的简单、安全、廉价的操作系统。它提供了一个直观的基于web的界面和一个有超过100个应用程序可供选择的应用程序商店。

ClearOS有3个主要版本:家庭版、商业版和社区版。家庭版是小型办公室的理想选择。商业版是为喜欢付费支持的中小型企业量身定制的，而社区版是绝对免费的。

八、入侵检测系统主要由哪些模块组成？

计算机网络入侵检测系统包括系统异常检测、系统分析监测、系统响应检测、主动扫描检测四个重要组成部分，通过多方位、多元化的检测有效的对计算机网络安全加以防护，保障用户的信息安全。

系统异常检测

　　计算机网络入侵检测系统的异常检测主要作用就是针对网络的上行与下载的数据流量进行实时的监测与分析。网络的流量使用情况具有着突发性的特点，对于系统的异常检测也有着不稳定性的特点。通过对网络流量的使用情况进行分析，结合系统的使用强度之间存在的关系，对实际网络流量进行具体的分析。一旦在计算机系统的休眠时间，发生了异常的网络流量与数据传输，发出安全警报，对计算机的信息进行防护，从而实现了对系统异常的监测。

系统分析检测

　　计算机网络入侵检测系统的分析检测主要是对具体的模块以及系统网络协议进行解码。实现网络端口与具体的 IP 地址进行解码，通过解码进行转变，满足入侵检测的数据接口进行实时防护。加强对具体的网络协议端口的监测。分析检测通过对协议端口的分析以及网络协议的顺序进行逐级防护，对不同的协议端口的特点进行分析，实现不同特点防御与检测。

系统响应检测

　　计算机网络入侵检测系统的响应检测分为被动检测与主动检测两个不同的方式。被动检测所指的是在计算机网络入侵检测系统发现了入侵行为以后直接进行防御与反击的行为动作。主动响应是进行自动攻击、主动防御。可以根据用户对系统的具体设置进行及时的防御。被动响应根据大数据的分析对可能产生的网络攻击及时的反馈给用户，让用户进行甄别是否需要进行安全防御与检测。这两种方式都有着不同的缺点，首先，被动防护由于防御与检测的最终权限在用户的手中，由于用户的疏忽很容易造成系统被破坏，信息被窃取。而主动防护虽然实现了主动出击对计算机网络进行防御与检测，但也容易造成判断失误而对系统中的重要信息内容的误判而影响计算机信息的完整性。

主动扫描检测

　　计算机网络入侵检测系统的主动扫描检测就是我们日常中打开一些杀毒软件进行系统漏洞的扫描与插件缺失的扫描。在具体的设计中很难实现对计算机网络整体的安全扫描有效的实现网络安全防护工作。系统漏洞的扫描是通过大数据的系统安全防护与用户使用系统进行对比判断，如果在扫描与比对过程中发现了不同之处则让用户进行重点排查与判断，是否存在系统安全隐患问题，让用户可以有选择性的进行修复。

九、简述入侵检测系统的工作原理？

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术

十、入侵检测的分类情况有哪些呢？

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。 入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。