标签：监控 主机 系统 NIDS HIDS 关于 看法 服务器

1、什么是HIDS

HIDS （Host-based Intrusion Detection System）基于主机的入侵检测系统，区别于NIDS（基于网络的入侵检测系统），HIDS专注于系统内部，监测系统的动态行为以及整个系统的状态。

HIDS将探头（代理）安装在受保卫系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件执行日志；还可以监测特定的系统文件和可执行文件调用，以及Windows 下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。

HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发觉，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能，能够很好地与系统，甚至系统上的运用紧密结合。

IDS基本流程：收集信息 -> 分析信息 -> 给出结论 -> 做出反应

2、缺陷

由于HIDS 需要直接安装在主机上，所以需要重点关注以下两点：

• 对主机性能的影响：HIDS agent 需要占用尽量少的资源来完成尽量完整的监控；如果主机性能由于agent导致明显下降，这是得不偿失的
• 对主机稳定性影响：应用于服务器必然会涉及到兼容性问题，需要针对各种不通内核的机器都做好兼容性处理。如果是针对个人PC还好，重启一下损失不会很大，但是如果agent位于关键服务器上，服务器宕机一次，损失可能不可估量。

3、前景

由于HIDS不像NIDS有许多可以数据化的技能指标，而且又要在被监控的主机上安装探头（代理），使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ，都非常谨慎。而对于国防、军工、机要保密等领域，对系统的安全、特别是信息安全要求比较高，而对系统的稳定性不是太敏感，而且更关注来自内部的攻击（一般这些领域的信息系统是不与公网相连的），所以对HIDS的运用比较容易接受，反而NIDS不是很看重。

在2021年这个时间，很多大型互联网企业，内网中已经开始部署自研 HIDS 了，如腾讯，美团等。腾讯的自研HIDS，主要功能包括黑客入侵行为发现、服务器安全漏洞检测与加固、服务器基础信息收集等。


美团技术论坛也有相关的帖子：保障IDC安全：分布式HIDS集群架构设计


随着这几年云计算产业的发展，Linux 上的轻量级类 HIDS 技术还是会有一定市场的，主要是云厂商自研自用，搞独立商业产品前景不明朗。

标签：监控,主机,系统,NIDS,HIDS,关于,看法,服务器
来源： https://www.cnblogs.com/gaoshaonian/p/15466021.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。