入侵检测体系结构

在之前的博文里所说的网络的或者基于主机的入侵检测系统都是有局限性的，检测范围都是有限的，针对于大型网络，入侵检测系统包含分布式结构和集中式结构

集中式结构就是随着主机规模的扩大，然后呢里面基于网络的和基于主机的入侵检测系统结点的部署范围不断增多，这些结点不断收集不同网段的计算机中的状态信息，然后将这些信息返回到中央控制台进行处理和分析，这种方式的不足就在于这个中央控制台，随着大规模网络数据量的增大，攻击行为越来越复杂，单一的中央控制台成为系统性能的瓶颈，随着网络规模的扩大，网络传输的延迟也增大，根据过时信息判断出的可信度将大大降低

分布式结构，分布式结构就是使用多个代理部署在网络的不同部分，分别协同处理入侵检测行为的检测，入侵检测的代理系统可以分开处理，每个代理系统拥有自己的探测器和中央控制器，各个代理的中央控制台都可以将信息汇总到总的中央控制台，这样就解决了大规模网络中的协同入侵检测的问题，可以使用树形结构来实现对大规模分层复杂网络的支持

首发于我的个人网站： 点击打开链接