基本介紹
- 中文名:基於主機入侵檢測系統
- 外文名:Host-based IDS,HIDS
- 類型:系統
- 對象:主機入侵
基於主機的入侵檢測系統(Host-based IDS,HIDS)出現在20世紀80年代初期,那時網路規模還比較小,而且網路之間也沒有完全互連。在這樣的環境裡,檢查可疑行為的審計記錄相對比較容易,況且在當時入侵行為非常少,通過對攻擊的事後分析就可以防止隨後的攻擊。同樣,目前HIDS仍使用審計記錄,但主機能自動進行檢測,而且能準確及時地作出回響。通常,HIDS監視分析系統、事件和安全記錄。例如,當有檔案發生變化時,HIDS將新的記錄條目與攻擊標記相比較,看其是否匹配,如果匹配系統就會向管理員報警。在HIDS中,對關鍵的系統檔案和執行檔的入侵檢測是主要內容之一,通常進行定期檢查校驗和,以便發現異常變化。此外,大多數HIDS產品都監聽連線埠的活動,在特定連線埠被訪問時向管理員報警。
HIDS的主要特點如下。
(1)監視特定的系統活動
HIDS監視用戶和訪問檔案的活動,包括檔案訪問、改變檔案許可權,試圖建立新的執行檔或者試圖訪問特殊的設備。
(2)能夠檢查到基於網路的入侵檢查系統檢查不出的攻擊
HIDS可以檢測到那些基於網路的入侵檢測系統察覺不到的攻擊。例如,來自主要伺服器鍵盤的攻擊不經過網路,所以可以躲開基於網路的入侵檢測系統。
由於HIDS安裝在遍布子網的各種豐機上,它們比基於網路的入侵檢測系統更加適於交換式連線和進行了數據加密的環境。
(4)有較高的實時性
儘管HIDS不能提供真正實時的反應,但如果套用正確,反應速度可以非常接近實時。儘管在從作業系統作出記錄到HIDS得到檢測結果之間的這段時間有一段延遲,但大多數情
況下,在破壞發生之前,系統就能發現入侵者,並中止他的攻擊。
(5)不需增加額外的硬體設備
HIDS存在於現行網路結構之中,包括檔案伺服器,Web伺服器及其他共享資源。這使得基於主機的系統效率很高。
