51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

简述主机入侵检测系统如何保护主机系统

作者:佚名
安全
主机入侵检测系统是入侵检测系统的一个分支,可以包括个人级、企业级、政府级以至于电信级,本篇文章主要简述的是主机入侵检测系统的应用原理和在实际应用中的优缺点。

入侵检测系统通过基于不同介质可以分为两大类,即网络入侵检测系统和主机入侵检测系统,本篇文章主要介绍主机入侵检测系统的工作原理、应用和关于主机入侵检测系统的优缺点,帮助用户在入侵检测系统的选用上做出抉择。

HIDS的原理及体系结构

主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色,它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断,并把警报信息发送给控制端程序,由管理员集中管理。此外,代理程序需要定期给控制端发出信号,以使管理员能确信代理程序工作正常。如果是个人主机入侵检测,代理程序和控制端管理程序可以合并在一起,管理程序也简单得多。

不同的应用范围,对主机入侵检测的要求也有不同。我们将其分为:个人、企业、政府、电信等多个级别。

1.个人级:由于个人电脑的配置较低,专供个人使用的入侵检测产品在功能和性能上做了极大的简化。同时在易用性方面针对个人用户又有了加强,如图形界面的使用,配置向导等功能。

2.企业级:企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到一个平衡点。

3.政府级:政府网络虽然流量并不比企业网络流量大,但是政府网络的安全性显然比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。

4.电信级:在电信企业的网络中,进出的数据流量是普通企业网络的几倍甚至几百倍。实时检测如此大的数据流量,对产品的攻击识别能力、丢包率等性能指标提出了极高的要求。

主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志和SNMP陷阱来寻找某些模式,这些模式可能意味着一大堆安全上很重要的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输,受拒的登录企图,物理信息(如一块以太网卡被设为混杂模式),以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息,如Secure Shell、Sendmail、Qmail、Bind和Apache Web服务器。

基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就是关键系统文件有没有在未经允许的情况下被修改,包括访问时间、文件大小和MD5密码校验值。
主机入侵检测系统需要和现有的系统紧密集成,当然支持的平台越多越好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级Windows和Unix系统。
在Window NT/2000中,系统有自带的安全工具,类似于早期 Windows 版本的策略编辑器。利用这个工具可以使安全策略的规划和实施变得更为容易。安全策略问题包括账号策略、本地策略、共钥策略和IP安全策略。系统中违反安全策略的行为都作为事件发送给系统安全日志。主机入侵检测可以根据安全日志分析判断入侵行为。

在主机入侵检测系统中,不管在什么操作系统,普遍用到各种勾子技术对系统的各种事件,活动进行截获分析。在Win NT/2000中,由于系统中的各种API 子系统,如Win32 子系统、Posix 子系统及其他系统最终都要调用相应的系统服务例程(System Services Routines),所以可以对系统服务例程勾子化。入侵检测系统通过捕获操作文件系统和注册表的函数来检测对文件系统和注册表的非法操作。在有些系统中,可以通过拷贝勾子处理函数不仅可以对敏感文件或目录检测非法操作,还可以阻止对文件或目录的操作。

拨号检测在主机入侵检测系统中也有其特殊的用途。在很多重要部门中都装有内部网,出于对信息的高度安全要求,公司(或部门)不希望有员工私自安装Modem拨号入网。安装于内部网中的带有拨号检测的主机入侵检测系统可以检测到员工的这种违规行为,及时阻止。在内部网中,阻止员工侵入其他员工的系统窃取机密信息也是需要的,这通常需要主机入侵检测系统对不同主机中的敏感文件或目录进行检测。

HIDS的优缺点

相对于网络入侵检测,主机入侵检测有以下优点:
◆ 性价比高 在主机数量较少的情况下,这种方法的性价比可能更高。
◆ 更加细致 这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。
◆ 视野集中 一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法活动的。
◆ 易于用户剪裁 每一个主机有其自己的代理,用户剪裁更方便。
◆ 较少的主机 基于主机的方法不需要增加专门的硬件平台。
◆ 对网络流量不敏感 用代理的方式一般不会因为网络流量的增加而丢失对网络行为的监视。
当然,主机入侵检测系统也有它的局限性:
◆ 操作系统局限 不象NIDS,厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全,HIDS的安全性受其所在主机操作系统的安全性限制。
◆ 系统日志限制 HIDS会通过监测系统日志来发现可疑的行为,但有些程序的系统日志并不详细,或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。
◆ 被修改过的系统核心能够骗过文件检查 如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。
 

【编辑推荐】

  1. 如何构建入门级IDS
  2. IDS漏洞分析与黑客入侵手法
  3. 测试评估IDS的性能指标
  4. 正确评估IDS性能的标准与步骤
  5. 企业测试IDS的四条重要标准

 

责任编辑:张启峰 来源: 网盾
主机入侵检测系统
相关推荐
主机入侵检测系统利与弊
主机入侵检测系统(HIDS)通常是安装在被重点检测的主机之上,拥有好的辨识分析、对特殊主机事件的紧密关注及低廉的成本。但同时又拥有全面部署主机入侵检测系统代价较大等特点。

2010-08-26 09:12:01

主机入侵检测系统学习及研究
主机入侵检测系统的检测目标主要是主机系统和本地用户。检测原理是在每个需要保护的端系统(主机)上运行代理程序,以主机的审计数据、系统日志、应用程序日志等为数据源,主要对主机的网络实时连接以及主机文件进行分析和判断,发现可疑事件并作出响应。

2023-06-03 20:45:34

如何在CentOS上配置基于主机入侵检测系统?
AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统。它通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库。然后,它对照该数据库,检查服务器的文件属性,然后在服务器运行时,一旦索引文件出现任何更改,就发出警告。

2015-01-27 10:18:38

入侵检测系统AIDECentOS
企业Linux开源系统主机入侵检测及防御实战
在开源系统中,例如Linux操作系统,从应用到内核层面上提供了3种入侵检测系统来对网络和主机进行防御,它们分别是网络入侵检测系统Snort、主机入侵检测系统LIDS以及分布式入侵检测系统SnortCenter。

2012-08-09 09:52:50

LIDSLinux入侵检测
OSSEC HIDS:开源的基于主机入侵检测系统
OSSECHIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。

2010-12-24 10:53:35

OSSEC HIDS开源
正确区分网络及主机入侵检测系统
本文讲述了如何区分基于网络的网络入侵检测系统(NIDS)和基于主机的主机入侵检测系统(HIDS),以及用户在使用的过程中应当如何选择。

2010-08-26 09:40:00

在CentOS上配置基于主机入侵检测系统(IDS)
对于某些客户,他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是,不管客户是否要求,系统管理员都应该部署一个入侵检测系统,这通常是一个很好的做法。

2014-11-18 14:12:19

CentOS入侵检测系统
如何整合入侵检测系统入侵防御系统
现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,包括感知异常情况,本文将帮你了解IDS和IPS,以及如何整合它们,实现完美保护。

2012-10-10 11:36:02

如何整合入侵检测系统入侵防御系统
现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,包括感知异常情况,本文将帮你了解IDS和IPS,以及如何整合它们,实现完美保护。

2011-11-21 09:57:47

浪潮“151计划”:系统培训如何助力主机安全保护
作为国内主机安全的第一品牌,浪潮启动了“151计划”。在省会城市和100个3级以上城市开展500名ISCE(浪潮主机安全技术工程师)认证培训计划,让培训学员了解国家信息安全等级保护政策及标准,提升他们面向行业数据中心的信息安全漏洞扫描能力,从而为用户提供专业、可靠的漏扫报告,并为用户明确自身的主机安全漏洞提供重要依据。

2015-09-02 14:53:10

如何正确使用网络入侵检测系统
随着网络安全风险系数不断提高,网络攻击和入侵事件与日俱增,作为对防火墙及其有益的补充,网络入侵检测能够帮助网络系统快速发现网络攻击的发生。

2010-08-26 10:36:44

入侵检测系统(IDS)和入侵防御系统(IPS)
现在越来越多的攻击是针对应用的,网络管理员需要新型IDS和IPS来保护网络安全。

2011-10-28 16:03:06

Snort入侵检测系统之我见
Snort入侵检测作为一款免费的轻量级入侵检测IDS系统,本文从Snort入侵检测的特点等方面对Snort入侵检测进行一次简单的分析。

2010-08-25 14:58:37

教你解决Linux主机入侵问题
Linux主机入侵是每个使用系统的人都不愿看到的系统问题,当出现了Linux主机入侵问题时Linux管理员应该怎么应对,这里将全面介绍

2010-03-10 14:35:43

浪潮SSR安全加固系统主机安全促等级保护
从信息安全等级保护的角度来看,浪潮SSR服务器安全加固系统填补了国内产品在主机安全领域的空白,达到了等级保护三级标准要求,对等级保护的实施具有重大的意义。同时,该产品充分体现了浪潮倡导的主动防御理念,对引导信息安全技术应用由“治标”转入“治本”的观念转变起到了积极的推动作用。

2009-12-10 16:05:05

贴心防护,畅享安全 | UCloud主机入侵检测新品正式发布
互联网安全形势越来越严峻,黑客组织虎视眈眈,给主机一个安全防护尤为必要。UCloud主机入侵检测产品是由UCloud多位高级专家经反复推敲和设计,精心研发而成,并经过了内部长期检测和使用,其稳定性、安全性、可扩展性均能得到很好的保障。

2018-04-03 12:45:29

如何在Ubuntu上安装Snort入侵检测系统
这份文档主要描述了在Ubuntu7.10上安装部署Snort入侵检测系统和acid基于PHP的网页入侵检测数据库分析控制台的过程。

2010-09-08 13:49:36

如何在Linux上安装Suricata入侵检测系统?
由于安全威胁持续不断,配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而,随着越来越多的服务器将网卡升级到10GB40GB以太网技术,我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。

2015-09-10 09:18:33

浪潮“151计划”:白帽子如何保护主机安全
曾作为核心技术成员,唐楠参与了中美黑客大战、中日黑客大战这些有影响力的黑客大战。他还是国内第一批通过CCSP(思科认证网络安全专家认证),拥有VPN专家证书、IDS入侵检测专家证书、防火墙专家证书、信息安全专家证书、IOS专家证书的

2015-09-06 14:12:49

Linux系统中的入侵检测
AdHoc网络又称移动自组网、多跳网络,具备细网灵活、快捷,不受有线网络的影响等特点,可广泛应用于军事和救援等无法或不便预先铺设网络设施的场合。

2009-09-04 10:21:00

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服