对比分析—HIDS、NIDS哪一个更好

与基于主机的IDS（Host Intrusion Detection Systems，HIDS）相比，基于网络的IDS（Network Intrusion Detection Systems，NIDS）最大的特点在于不需要改变服务器等主机的配置。由于它不需在业务系统的主机中安装额外的软件，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。另外，NIDS不是系统中的关键路径，即使发生故障也不会影响正常业务的运行。因此，部署一个NIDS，比HIDS的风险与成本相对较低。

新一代的NIDS将如何突破局限，实现全局的预警？笔者从赛门铁克最新推出的NIDS产品ManHunt来看，它具备如下特征：

基于策略的预防性反应。NIDS超越了被动的事件识别和告警功能，为网络提供积极的防护。ManHunt通过被称为异常协议检测的技术来分析网络流，以此来识别新型和未知攻击。异常协议检测在检测大多数类型的攻击时不要求事先特征，甚至在发布特征前也允许ManHunt检测和识别zero-day攻击。

实时事件关联和分析。NIDS可以利用一流的关联和分析引擎来过滤错误数据，只提取相关信息，能够感知威胁，而不会发生数据过载。实时事件集中、关联和分析使ManHunt能够通过跨节点的分析来收集整个网络的信息，确定威胁趋势，在威胁事件发生时快速识别它们。ManHunt可在一个ManHunt节点上同时监控4个千兆以太网或12个快速以太网接口，对高达2Gbps的高速、多个千兆网段检测、实时威胁分析。

全面的数据包捕获和集成数据包过滤。为了有效地分析和确定攻击特征，全面记录恶意数据包是关键。通过这种思想，ManHunt可以根据每个接口来配置，以便当检查到异常或特征事件时，捕获整个数据包。

此外,NIDS自身的特点决定了能够与其它产品实现集成，更能体现全面保护。ManHunt提供了Smart Agent模块，能够收集整个企业的多源事件，有助于各公司扩展其安全性措施，并增强对他们现有安全性资产的威胁检查价值——消除了与部署传统IDS产品相关的扩展性和成本问题。