入侵檢測系統(tǒng)通過基于不同介質可以分為兩大類，即網(wǎng)絡入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng)，本篇文章主要介紹主機入侵檢測系統(tǒng)的工作原理、應用和關于主機入侵檢測系統(tǒng)的優(yōu)缺點，幫助用戶在入侵檢測系統(tǒng)的選用上做出抉擇。

HIDS的原理及體系結構

主機入侵檢測系統(tǒng)通常在被重點檢測的主機上運行一個代理程序。該代理程序扮演著檢測引擎的角色，它根據(jù)主機行為特征庫對受檢測主機上的可疑行為進行采集、分析和判斷，并把警報信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號，以使管理員能確信代理程序工作正常。如果是個人主機入侵檢測，代理程序和控制端管理程序可以合并在一起，管理程序也簡單得多。

不同的應用范圍，對主機入侵檢測的要求也有不同。我們將其分為：個人、企業(yè)、政府、電信等多個級別。

1．個人級：由于個人電腦的配置較低，專供個人使用的入侵檢測產(chǎn)品在功能和性能上做了極大的簡化。同時在易用性方面針對個人用戶又有了加強，如圖形界面的使用，配置向導等功能。

2．企業(yè)級：企業(yè)級的入侵檢測產(chǎn)品要求在性能、功能、易用性、成本等幾方面找到一個平衡點。

3．政府級：政府網(wǎng)絡雖然流量并不比企業(yè)網(wǎng)絡流量大，但是政府網(wǎng)絡的安全性顯然比其他特性更加受到重視。因此攻擊識別能力和實時響應能力更為重要。

4．電信級：在電信企業(yè)的網(wǎng)絡中，進出的數(shù)據(jù)流量是普通企業(yè)網(wǎng)絡的幾倍甚至幾百倍。實時檢測如此大的數(shù)據(jù)流量，對產(chǎn)品的攻擊識別能力、丟包率等性能指標提出了極高的要求。

主機入侵檢測系統(tǒng)主要依靠主機行為特征進行檢測。檢測系統(tǒng)可通過監(jiān)測系統(tǒng)日志和SNMP陷阱來尋找某些模式，這些模式可能意味著一大堆安全上很重要的事件。檢測系統(tǒng)的特征庫包括很多類操作系統(tǒng)上的事件。這些事件檢查可疑的文件傳輸，受拒的登錄企圖，物理信息(如一塊以太網(wǎng)卡被設為混雜模式)，以及系統(tǒng)重啟。特征庫也可包括來自許多應用程序和服務的安全訊息，如Secure Shell、Sendmail、Qmail、Bind和Apache Web服務器。

基于主機的入侵檢測系統(tǒng)的一個優(yōu)勢就是它可以根據(jù)結果來進行判斷。判據(jù)之一就是關鍵系統(tǒng)文件有沒有在未經(jīng)允許的情況下被修改，包括訪問時間、文件大小和MD5密碼校驗值。
主機入侵檢測系統(tǒng)需要和現(xiàn)有的系統(tǒng)緊密集成，當然支持的平臺越多越好。目前的主流商業(yè)入侵檢測系統(tǒng)通常支持或將支持大部分主流的企業(yè)級Windows和Unix系統(tǒng)。
在Window NT/2000中，系統(tǒng)有自帶的安全工具，類似于早期 Windows 版本的策略編輯器。利用這個工具可以使安全策略的規(guī)劃和實施變得更為容易。安全策略問題包括賬號策略、本地策略、共鑰策略和IP安全策略。系統(tǒng)中違反安全策略的行為都作為事件發(fā)送給系統(tǒng)安全日志。主機入侵檢測可以根據(jù)安全日志分析判斷入侵行為。

在主機入侵檢測系統(tǒng)中，不管在什么操作系統(tǒng)，普遍用到各種勾子技術對系統(tǒng)的各種事件，活動進行截獲分析。在Win NT/2000中，由于系統(tǒng)中的各種API 子系統(tǒng)，如Win32 子系統(tǒng)、Posix 子系統(tǒng)及其他系統(tǒng)最終都要調用相應的系統(tǒng)服務例程(System Services Routines)，所以可以對系統(tǒng)服務例程勾子化。入侵檢測系統(tǒng)通過捕獲操作文件系統(tǒng)和注冊表的函數(shù)來檢測對文件系統(tǒng)和注冊表的非法操作。在有些系統(tǒng)中，可以通過拷貝勾子處理函數(shù)不僅可以對敏感文件或目錄檢測非法操作，還可以阻止對文件或目錄的操作。

撥號檢測在主機入侵檢測系統(tǒng)中也有其特殊的用途。在很多重要部門中都裝有內部網(wǎng)，出于對信息的高度安全要求，公司（或部門）不希望有員工私自安裝Modem撥號入網(wǎng)。安裝于內部網(wǎng)中的帶有撥號檢測的主機入侵檢測系統(tǒng)可以檢測到員工的這種違規(guī)行為，及時阻止。在內部網(wǎng)中，阻止員工侵入其他員工的系統(tǒng)竊取機密信息也是需要的，這通常需要主機入侵檢測系統(tǒng)對不同主機中的敏感文件或目錄進行檢測。

HIDS的優(yōu)缺點

相對于網(wǎng)絡入侵檢測，主機入侵檢測有以下優(yōu)點：
◆ 性價比高 在主機數(shù)量較少的情況下,這種方法的性價比可能更高。
◆ 更加細致 這種方法可以很容易地監(jiān)測一些活動,如對敏感文件、目錄、程序或端口的存取,而這些活動很難在基于協(xié)議的線索中被發(fā)現(xiàn)。
◆ 視野集中 一旦入侵者得到了一個主機的用戶名和口令,基于主機的代理是最有可能區(qū)分正常的活動和非法活動的。
◆ 易于用戶剪裁 每一個主機有其自己的代理,用戶剪裁更方便。
◆ 較少的主機 基于主機的方法不需要增加專門的硬件平臺。
◆ 對網(wǎng)絡流量不敏感 用代理的方式一般不會因為網(wǎng)絡流量的增加而丟失對網(wǎng)絡行為的監(jiān)視。
當然，主機入侵檢測系統(tǒng)也有它的局限性：
◆ 操作系統(tǒng)局限 不象NIDS，廠家可以自己定制一個足夠安全的操作系統(tǒng)來保證NIDS自身的安全，HIDS的安全性受其所在主機操作系統(tǒng)的安全性限制。
◆ 系統(tǒng)日志限制 HIDS會通過監(jiān)測系統(tǒng)日志來發(fā)現(xiàn)可疑的行為，但有些程序的系統(tǒng)日志并不詳細，或者沒有日志。有些入侵行為本身不會被具有系統(tǒng)日志的程序紀錄下來。
◆ 被修改過的系統(tǒng)核心能夠騙過文件檢查 如果入侵者修改系統(tǒng)核心，則可以騙過基于文件一致性檢查的工具。
 

【編輯推薦】

1. 如何構建入門級IDS
2. IDS漏洞分析與黑客入侵手法
3. 測試評估IDS的性能指標
4. 正確評估IDS性能的標準與步驟
5. 企業(yè)測試IDS的四條重要標準