入侵检测系统(IDS)的弱点和局限(4)

NIDS相关系统的脆弱性

NIDS本身应当具有相当高的安全性，一般用于监听的网卡都没有IP地址，并且其它网卡不会开放任何端口。但与NIDS相关的系统可能会受到攻击。

1.4.1控制台主机的安全脆弱性

有些系统具有单独的控制台，如果攻击者能够控制控制台所在的主机，就可以对整个NIDS系统进行控制。

1.4.2传感器与控制台通信的脆弱性

如果传感器与控制台间的通信可以被攻击者成功攻击，将影响系统正常使用。例如进行ARP欺骗或者SYN_Flooding。

如果传感器与控制台间的通信采用明文通信或者只是简单的加密，则可能受到IP欺骗攻击或者重放攻击。

1.4.3与系统报警有关的其他设备及其通信的脆弱性

如果攻击者能够成功攻击与系统报警有关的其他设备，例如邮件服务器等，将影响报警消息的发送。

2 HIDS的弱点和局限

2.1资源局限

由于HIDS安装被保护主机上，故所占用的资源不能太多，从而大大限制了所采用的检测方法及处理性能。

2.2操作系统局限

不象NIDS，厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全，HIDS的安全性受其所在主机的操作系统的安全性限制，如果所在系统被攻破，HIDS将很快被清除。如果HIDS为单机，则它基本上只能检测没有成功的攻击，如果HIDS为传感器/控制台结构，则将面临与NIDS同样的对相关系统的攻击。

有些HIDS会考虑增加操作系统自身的安全性(例如LIDS)。

2.3系统日志限制

HIDS会通过监测系统日志来发现可疑的行为，但有些程序的系统日志并不足够详细，或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。

如果系统没有安装第三方日志系统，则系统自身的日志系统很快会受到入侵者的攻击或修改，而入侵检测系统通常不支持第三方的日志系统。

如果HIDS没有实时检查系统日志，则利用自动化工具进行的攻击将完全可能在检测间隔中完成所有的攻击工程并清除在系统日志中留下的痕迹。

2.4被修改过的系统核心能够骗过文件检查

如果入侵者修改系统核心，则可以骗过基于文件一致性检查的工具。这就像当初某些病毒，当它们认为受到检查或者跟踪的时候会将原来的文件或者数据提供给检查工具或者跟踪工具。

2.5网络检测局限

有些HIDS可以检查网络状态，但这将面临NIDS所面临的很多问题。