首页 > 其他分享 >HIDS 了解

HIDS 了解

时间:2023-05-11 19:12:11浏览次数:46  
标签:封掉 检测 系统 HIDS 了解 主机 入侵

1、
HIDS (Host-based Intrusion Detection System)基于主机的入侵检测系统,区别于NIDS(基于网络的入侵检测系统),HIDS专注于系统内部,监测系统的动态行为以及整个系统的状态。

HIDS将探头(代理)安装在受保卫系统中,它要求与操作系统内核和服务紧密捆绑在一起,监控各种系统事件,如对内核或API的调用,以此来防御攻击并对这些事件执行日志;还可以监测特定的系统文件和可执行文件调用,以及Windows 下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。

 HIDS的作用原理
  作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。

  通俗理解我们可以这样认为:一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样,计算机管理员就可以察觉到一些系统的修改,HIDS亦能检测并报告出检测结果。

HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒,可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载,但只要这个木马程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发觉,并采取杀死进程、封掉账号,甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能,能够很好地与系统,甚至系统上的运用紧密结合。

 hids的能力
  HIDS能对检测的入侵行为、事件给予积极的反应,比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒,可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载,但只要这个木马程序开始工作,如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等,就会立即被HIDS的发觉,并采取杀死进程、封掉账号,甚至断开网络连接。

HIDS 使用网络数据作为信息源有以下好处:
可以用独立的主机进行检测,网络数据的收集和分析不会影响业务主机的运作性能。
以被动监听的方式获取数据包,不降低网络性能。例如,包过滤防火墙在处理数据包时要先按照安全规则实施过滤,再进行转发,这样必然延长数据包的传输时间,而入侵检测系统的被动监听不存在此问题。
这种入侵检测系统本身不容易遭受攻击,因为其对于网络用户而言完全透明,攻击者难以判断网络中是否存在入侵检测系统,入侵检测系统位于何处。
以网络数据作为信息源的入侵检测系统,相对于以主机数据作为信息源的入侵检测系统而言,可以更快速、有效地检测很多类型的网络攻击活动,如 ARP 欺骗、拒绝服务攻击等。
网络数据包遵循统一的通信协议,标准化程度高,可以便捷地将此类入侵检测系统移植到不同的系统平台上。

2、缺陷
由于HIDS 需要直接安装在主机上,所以需要重点关注以下两点:

对主机性能的影响:HIDS agent 需要占用尽量少的资源来完成尽量完整的监控;如果主机性能由于agent导致明显下降,这是得不偿失的
对主机稳定性影响:应用于服务器必然会涉及到兼容性问题,需要针对各种不通内核的机器都做好兼容性处理。如果是针对个人PC还好,重启一下损失不会很大,但是如果agent位于关键服务器上,服务器宕机一次,损失可能不可估量。

3、前景
由于HIDS不像NIDS有许多可以数据化的技能指标,而且又要在被监控的主机上安装探头(代理),使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ,都非常谨慎。而对于国防、军工、机要保密等领域,对系统的安全、特别是信息安全要求比较高,而对系统的稳定性不是太敏感,而且更关注来自内部的攻击(一般这些领域的信息系统是不与公网相连的),所以对HIDS的运用比较容易接受,反而NIDS不是很看重。
在2021年这个时间,很多大型互联网企业,内网中已经开始部署自研 HIDS 了,如腾讯,美团等。腾讯的自研HIDS,主要功能包括黑客入侵行为发现、服务器安全漏洞检测与加固、服务器基础信息收集等。
美团技术论坛也有相关的帖子:保障IDC安全:分布式HIDS集群架构设计
随着这几年云计算产业的发展,Linux 上的轻量级类 HIDS 技术还是会有一定市场的,主要是云厂商自研自用,搞独立商业产品前景不明朗。

参考:
https://www.cnblogs.com/gaoshaonian/p/15466021.html
https://www.wangan.com/wenda/4276
https://www.safedog.cn/news.html?id=5015

标签:封掉,检测,系统,HIDS,了解,主机,入侵
From: https://www.cnblogs.com/rab3it/p/17391950.html

相关文章

  • 【pytorch】理解张量,了解张量的创建和操作
    深度学习的核心是卷积,卷积的核心是张量(Tensor)理解TensorTensor可以简单理解为是标量、向量、矩阵的高维扩展。你可以把张量看作多维数组,但相较于ndarray,Tensor包含了grad、requires_grad、grad_fn、device等属性,是为服务于神经网络而设计的类型,标量可以看作是零维张量、......
  • 一文深入了解CSRF漏洞
    1.1.定义跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站......
  • 了解Redis过期策略及实现原理
    大约阅读4分钟如果你使用过redis,那你一定知道过期策略这个命令吧,如果让你设计一个过期键接口,你有什么想法?我们在使用redis时,一般会设置一个过期时间,当然也有不设置过期时间的,也就是永久不过期。当我们设置了过期时间,redis是如何判断是否过期,以及根据什么策略来进行删除的。redi......
  • 1分钟了解C语言正确使用字节对齐及#pragma pack的方法
    ​C/C++编译器的缺省字节对齐方式为自然对界。即在缺省情况下,编译器为每一个变量或是数据单元按其自然对界条件分配空间。在结构中,编译器为结构的每个成员按其自然对界(alignment)条件分配空间。各个成员按照它们被声明的顺序在内存中顺序存储(成员之间可能有插入的空字节),第......
  • 关于RIP你了解吗
    ​ 关于RIP大家可能有的陌生有的熟悉,但是都没有关系,因为接下来我会给大家来简单介绍下RIP   RIP动态路由:;路由器之间互相通信获得路由信息,并以此更新路由表的过程什么是动态路由协议呢:就是实现路由器动态获得路由表信息的协议 动态路由的特点  减少管理成本 ......
  • 练习——简单的TcpCS了解基本概念
    packagecom.net;importjava.io.IOException;importjava.io.OutputStream;importjava.net.*;//客户端@SuppressWarnings({"all"})publicclassTCPClient_{publicstaticvoidmain(String[]args){Socketsocket=null;OutputS......
  • 想了解JavaScript基础?这篇文章足够了!
    本人无意看到的一篇文章,觉得写的很全面,简单概括了Javascript的一些知识,现分享如下:原文地址:http://www.ppmy.cn/news/7295.html更多详细内容,请微信搜索“前端爱好者“,戳我查看。一、JavaScript的介绍JavaScript是一种运行在客户端的脚本语言,作为web标准的行为层,最初出现......
  • 简单了解javabean
    来自你的消息:javabean怎么理解来自ChatAI的消息:JavaBean是指符合一定规范的Java类,用于封装数据。JavaBean一般包含私有属性、公有getter/setter方法和无参构造方法。JavaBean的主要目的是提供一种规范化的方式来创建可重用的组件,这些组件可以用于在Java程序中进行数据封装、......
  • 一文了解ODD2023 Compiler SIG组开放工作会议内容!
    4月21日,作为openEulerDeveloperDay2023重要的一环,CompilerSIG组开放工作会议圆满举行。本次CompilerSIG组开放工作会议主要围绕GCC、LLVM、BiShengJDK的版本规划进行介绍,吸引了现场及线上开发者们的热烈讨论。下面就让我们一起来回顾本次会议的精彩内容!2023GCC版本规划及特......
  • 写几行代码,了解响应式原理
    作者:袁首京原创文章,转载时请保留此声明,并给出原文连接。作为当下的开发人员,无论是不是前端,可能都会频繁的与React、Vue、Svelte、Solidjs等等打交道。也许你已经很清楚它们背后的运作原理,那不必往下看了。如果还不是很清楚,那咱们可以一起写几行代码,来瞅一眼这些响应式框架......