基于主机的入侵检测系统有哪些优点

基于主机的入侵检测系统具有以下优点：

• 能够判断攻击是否成功：由于基于主机的IDS以包含实际发生的事件信息的日志文件作为数据源，因此可以比基于网络的IDS更准确地判断攻击是否成功。在这一点上，基于主机的IDS是对基于网络的IDS的完美补充。

• 非常适合加密和交换环境：由于基于网络的IDS使用网络数据包作为数据源，因此对于加密环境是无能为力的，但是对于基于主机的IDS则不同，因为所有加密的数据在到达之前必须被解密主机，以便操作系统可以解析它。对于交换网络来说，基于网络的IDS在获取网络流量方面面临着巨大的挑战，但基于主机的IDS则没有这个限制。

• 近实时的检测和响应：基于主机的IDS无法提供真正的实时响应，但由于现有的基于主机的IDS大多是在日志文件形成的同时获取审计数据信息，因此接近实时。检测和响应的可能性。

• 无需额外硬件：基于主机的IDS驻留在现有的网络基础设施上，包括文件服务器、Web服务器和其他共享资源，从而降低了基于主机的IDS实施成本。由于不需要增加新的硬件，减轻了日后维护和管理这些硬件设备的负担。

• 可以监视特定的系统行为：基于主机的IDS可以监视用户和文件访问活动，包括文件访问、文件权限更改、尝试创建新的可执行文件以及尝试访问特权服务。例如，基于主机的IDS可以监视所有用户登录和注销，以及每个用户连接到网络后的行为。