主机入侵检测系统利与弊

作为为网络防火墙之后的又一大安全产品，入侵检测系统（IDS）已然成为了网络安全这个餐桌上的一道名菜。入侵检测系统又可以细分为网络入侵检测系统以及主机入侵检测系统。那么在应用中应该如何选择使用他们呢？在后边的文章中，将选择主机入侵检测系统为您分析其利于弊。

主机入侵检测系统（HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。

主机入侵检测使用验证记录，并发展了精密的可迅速做出响应的检测技术。通常，主机入侵检测可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。

主机入侵检测在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后，许多系统都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到主机入侵检测环境中。

尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实具有基于网络的系统无法比拟的优点。这些优点包括：更好的辨识分析、对特殊主机事件的紧密关注及低廉的成本。

主机入侵检测系统包括：

（1）确定攻击是否成功。由于基于主机入侵检测使用含有已发生事件信息，它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面，主机入侵检测是基于网络的IDS完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。

（2）监视特定的系统活动。主机入侵检测监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件并且／或者试图访问特殊的设备。例如，基于主机入侵检测可以监督所有用户的登录及下网情况，以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。主机入侵检测技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加，删除、更改的情况，只要改动一且发生，主机入侵检测就能检察测到这种不适当的改动。主机入侵检测还可审计能影响系统记录的校验措施的改变。主机入侵检测系统可以监视主要系统文件和可执行文件的改变。系统能够查出那些欲改写重要系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会查不到这些行为。

（3）能够检查到基于网络的系统检查不出的攻击。主机入侵检测系统可以检测到那些基于网络的系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。

（4）适用被加密的和交换的环境。交换设备可将大型网络分成许多的小型网络部件加以管理，所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的IDS的最佳位置。业务映射和交换机上的管理端口有助于此，但这些技术有时并不适用。主机入侵检测入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。某些加密方式也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内，所以基于网络的系统可能对某些攻击没有反应，主机入侵检测没有这方面的限制，当操作系统及主机入侵检测系统看到即将到来的业务时，数据流已经被解密了。

（5）近于实时的检测和响应。尽管主机入侵检测系统不能提供真正实时的反应，但如果应用正确，反应速度可以非常接近实时。老式系统利用一个进程在预先定义的间隔内检查登记文件的状态和内容，与老式系统不同，当前主机入侵检测系统的中断指令，这种新的记录可被立即处理，显著减少了从攻击验证到作出响应的时间，在从操作系统作出记录到主机入侵检测系统得到辨识结果之间的这段时间是一段延迟，但大多数情况下，在破坏发生之前，系统就能发现入侵者，并中止他的攻击。

（6）不要求额外的硬件设备。主机入侵检测系统存在于现行网络结构之中，包括文件服务器，Web服务器及其它共享资源。这些使得主机入侵检测系统效率很高。因为它们不需要在网络上另外安装登记，维护及管理的硬件设备。

（7）记录花费更加低廉。基于网络的入侵检测系统比主机入侵检测系统要昂贵的多。

主机入侵检测系统有如下的弱点:

（1）主机入侵检测系统安装在我们需要保护的设备上，如当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。

（2）主机入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。

（3）全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。

（4）主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。

基于主机和基于网络的入侵检测都有其优势和劣势，两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。
 

【编辑推荐】

1. snort入侵检测简介及常用软件
2. 零距离接触入侵防御IPS系统
3. 正确区分入侵检测IDS与入侵防御IPS
4. 升级OR替代？IPS系统与IDS系统
5. 假想案例谈论IPS系统部署