1、
HIDS (Host-based Intrusion Detection System)基于主机的入侵检测系统,区别于NIDS(基于网络的入侵检测系统),HIDS专注于系统内部,监测系统的动态行为以及整个系统的状态。
HIDS将探头(代理)安装在受保卫系统中,它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,如对内核或API的调用,以此来防御攻击并对这些事件执行日志;还可以监测特定的系统文件和可执行文件调用,以及Windows 下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。
HIDS的作用原理
作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。
通俗理解我们可以这样认为:一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样,计算机管理员就可以察觉到一些系统的修改,HIDS亦能检测并报告出检测结果。
HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒,可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载,但只要这个木马程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发觉,并采取杀死进程、封掉账号,甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能,能够很好地与系统,甚至系统上的运用紧密结合。
hids的能力
HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒,可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载,但只要这个木马程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发觉,并采取杀死进程、封掉账号,甚至断开网络连接。
HIDS 使用网络数据作为信息源有以下好处:
可以用独立的主机进行检测,网络数据的收集和分析不会影响业务主机的运作性能。
以被动监听的方式获取数据包,不降低网络性能。例如,包过滤防火墙在处理数据包时要先按照安全规则实施过滤,再进行转发,这样必然延长数据包的传输时间,而入侵检测系统的被动监听不存在此问题。
这种入侵检测系统本身不容易遭受攻击,因为其对于网络用户而言完全透明,攻击者难以判断网络中是否存在入侵检测系统,入侵检测系统位于何处。
以网络数据作为信息源的入侵检测系统,相对于以主机数据作为信息源的入侵检测系统而言,可以更快速、有效地检测很多类型的网络攻击活动,如 ARP 欺骗、拒绝服务攻击等。
网络数据包遵循统一的通信协议,标准化程度高,可以便捷地将此类入侵检测系统移植到不同的系统平台上。
2、缺陷
由于HIDS 需要直接安装在主机上,所以需要重点关注以下两点:
对主机性能的影响:HIDS agent 需要占用尽量少的资源来完成尽量完整的监控;如果主机性能由于agent导致明显下降,这是得不偿失的
对主机稳定性影响:应用于服务器必然会涉及到兼容性问题,需要针对各种不通内核的机器都做好兼容性处理。如果是针对个人PC还好,重启一下损失不会很大,但是如果agent位于关键服务器上,服务器宕机一次,损失可能不可估量。
3、前景
由于HIDS不像NIDS有许多可以数据化的技能指标,而且又要在被监控的主机上安装探头(代理),使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ,都非常谨慎。而对于国防、军工、机要保密等领域,对系统的安全、特别是信息安全要求比较高,而对系统的稳定性不是太敏感,而且更关注来自内部的攻击(一般这些领域的信息系统是不与公网相连的),所以对HIDS的运用比较容易接受,反而NIDS不是很看重。
在2021年这个时间,很多大型互联网企业,内网中已经开始部署自研 HIDS 了,如腾讯,美团等。腾讯的自研HIDS,主要功能包括黑客入侵行为发现、服务器安全漏洞检测与加固、服务器基础信息收集等。
美团技术论坛也有相关的帖子:保障IDC安全:分布式HIDS集群架构设计
随着这几年云计算产业的发展,Linux 上的轻量级类 HIDS 技术还是会有一定市场的,主要是云厂商自研自用,搞独立商业产品前景不明朗。
参考:
https://www.cnblogs.com/gaoshaonian/p/15466021.html
https://www.wangan.com/wenda/4276
https://www.safedog.cn/news.html?id=5015