1.1定義

   主機入侵檢測系統(tǒng)(host—based IDS，HIDS)的檢測目標主要是主機系統(tǒng)和本地用戶。檢測原理是在每個需要保護的端系統(tǒng)(主機)上運行代理程序(agent)，以主機的審計數(shù)據(jù)、系統(tǒng)日志、應用程序日志等為數(shù)據(jù)源，主要對主機的網(wǎng)絡實時連接以及主機文件進行分析和判斷，發(fā)現(xiàn)可疑事件并作出響應。

1.2工作原理

其工作原理主要包括如下幾個方面：

（1）事件采集：主機入侵檢測系統(tǒng)通過數(shù)據(jù)采集器實時監(jiān)測操作系統(tǒng)及服務器軟件的安全事件和信息，例如進程信息、端口信息、用戶登錄行為、文件變化、內存使用等等。

（2）事件分析：主機入侵檢測系統(tǒng)采集到的事件信息會通過安全分析引擎進行整合和分析，比如對事件的來源、目標、行為、風險程度等進行分析，以此識別出潛在的安全威脅。

（3）漏洞掃描：主機入侵檢測系統(tǒng)還可以針對操作系統(tǒng)和應用程序的漏洞進行掃描，并及時發(fā)現(xiàn)并報告可利用漏洞的攻擊行為。

（4）告警產(chǎn)生：當主機入侵檢測系統(tǒng)識別到潛在的安全威脅時，會通過告警方式進行報警，例如生成日志文件、發(fā)送郵件、短信通知等等，以及提供相應的解決方案，幫助管理員及時采取響應措施。

1.3主機入侵檢測系統(tǒng)的主要功能

主要功能包括：

實時監(jiān)測和檢測服務器、應用程序及數(shù)據(jù)庫的行為，發(fā)現(xiàn)可能存在的安全威脅。

分析事件并進行警報，指導管理員及時采取相應的措施來應對安全威脅。

分析漏洞情況并針對漏洞提供建議。

支持日志記錄和分析，提供安全審計和合規(guī)性檢查功能。

提供安全預警和遠程管理等功能，方便管理員集中管理和維護主機入侵檢測系統(tǒng)。

1.4國家相關標準

《信息安全技術 企業(yè)級主機入侵檢測系統(tǒng) 技術規(guī)范》 （GB/T 28448-2012）：該標準規(guī)定了企業(yè)級主機入侵檢測系統(tǒng)的技術要求、測試方法和評價要求，是中國國家標準委員會于2012年發(fā)布的第一部主機入侵檢測系統(tǒng)標準。

《信息安全技術 云計算環(huán)境下基礎設施主機入侵檢測通用規(guī)范》（GB/T 34169-2017）：該標準提出了在云計算環(huán)境下基礎設施主機入侵檢測的要求，并給出了相應的技術規(guī)范和測試方法。

《信息安全技術 電子政務主機入侵檢測通用規(guī)范》（GB/T 34335-2017）：該標準指導電子政務系統(tǒng)使用主機入侵檢測系統(tǒng)實現(xiàn)網(wǎng)絡安全監(jiān)控和攻擊防護等功能，提高系統(tǒng)安全性和可靠性。

此外，還有一些行業(yè)標準和標準化組織的推薦標準，如中華人民共和國公安部頒布的《警用主機防護系統(tǒng)技術要求與測試方法》（GA/T 758-2017）和國際標準化組織發(fā)布的《信息技術 安全技術 威脅情報共享》（ISO/IEC 30111:2013）等等。

1.5主機入侵檢測分類及定級

1.主機入侵檢測分類

主機入侵檢測可以根據(jù)其實現(xiàn)方式和檢測目的進行分類，一般分為以下幾種：

基于規(guī)則的檢測：基于規(guī)則的檢測系統(tǒng)利用特定的規(guī)則集來判斷主機上是否存在安全威脅。這些規(guī)則集可以基于攻擊行為、惡意代碼、異常流量等方面進行定義。當檢測到與規(guī)則集匹配的情況時，該系統(tǒng)將產(chǎn)生警報或采取其他響應措施。

基于模型的檢測：基于模型的檢測系統(tǒng)使用事先構建好的主機行為模型來檢測主機的正常和異常行為。該系統(tǒng)通過對主機行為的學習和建模，可以有效地檢測新的威脅和未知漏洞等問題。

基于特征的檢測：基于特征的檢測系統(tǒng)通過分析主機上的日志或其他信息來識別潛在的安全問題。該檢測方法可以檢測網(wǎng)絡流量、文件操作、進程監(jiān)控等不同類型的事件。

2.主機入侵檢測級別

根據(jù)其檢測結果的安全級別，主機入侵檢測可以分為以下幾個級別：

一級警報：通常表示較低的風險，比如一些普通攻擊或者非惡意的行為等。

二級警報：表示較高風險，比如某些特定攻擊或惡意軟件的行為等。

三級警報：表示非常高的風險，例如某些高級網(wǎng)絡攻擊或者系統(tǒng)崩潰等等。

根據(jù)不同的安全級別，管理員可以采取相應的響應措施，來及時應對主機入侵和其他安全事件。

3.主機入侵檢測系統(tǒng)檢測對象

（1）進程和線程：該類型檢測通常監(jiān)控主機上的進程和線程活動，比如檢測是否存在異常進程、異常線程或者進程權限的變化。

（2）事件日志：該類型檢測通常涉及對主機事件日志進行監(jiān)控，包括登錄成功失敗、文件訪問、網(wǎng)絡連接等事件，通過分析這些事件可以判斷是否存在非法操作或異常行為。

（3）文件和系統(tǒng)配置：該類型檢測主要監(jiān)控主機上的文件系統(tǒng)和系統(tǒng)配置變化，比如檢測文件的插入和刪除、系統(tǒng)配置的變化以及重要文件是否被篡改。

（4）網(wǎng)絡流量：該類型檢測主要通過監(jiān)控主機上的網(wǎng)絡流量，判斷是否存在異常的數(shù)據(jù)包流量或者進行惡意攻擊的流量。

（5）性能和資源消耗：該類型檢測主要是通過監(jiān)控主機上的性能和資源消耗情況，判斷是否出現(xiàn)異常的資源消耗或性能下降現(xiàn)象，比如CPU利用率、內存使用情況等。

1.6主機入侵檢測系統(tǒng)優(yōu)缺點

1.優(yōu)點

實時監(jiān)控：主機入侵檢測系統(tǒng)可以在實時監(jiān)控主機的行為，及時發(fā)現(xiàn)和響應安全威脅，減少損失。

精度高：主機入侵檢測系統(tǒng)可以通過多種技術來檢測各種類型的威脅，包括惡意軟件、網(wǎng)絡攻擊等，具有較高的檢測準確性。

自主學習：一些先進的主機入侵檢測系統(tǒng)能夠自主學習主機正常操作行為，并建立相應的安全模型，從而提高了檢測效率和準確性。

靈活性：主機入侵檢測系統(tǒng)可以根據(jù)不同的企業(yè)需求進行定制，提供靈活的部署方式，包括分布式架構和云端部署等。

2.缺點

漏報和誤報：主機入侵檢測系統(tǒng)可能會因為規(guī)則集或模型構建不完善而出現(xiàn)漏報或誤報，降低了安全檢測的可信度。

資源消耗：主機入侵檢測系統(tǒng)需要大量的系統(tǒng)資源來運行和存儲數(shù)據(jù)，可能會影響系統(tǒng)性能和容量。

依賴性：主機入侵檢測系統(tǒng)需要不斷升級和更新才能保持檢測效果，同時也需要根據(jù)不同的應用場景來定制規(guī)則集和模型，增加了企業(yè)的管理成本。

綜上所述，主機入侵檢測系統(tǒng)雖然具有一些優(yōu)點和特點，但其仍需不斷完善和優(yōu)化才能更好地適應企業(yè)的安全需求。

1.7主機入侵檢測系統(tǒng)的性能指標和技術指標

主機入侵檢測系統(tǒng)的性能指標和技術指標通常包括以下幾個方面：

（1）檢測率：指主機入侵檢測系統(tǒng)在檢測到真實安全事件的能力，即出現(xiàn)安全威脅時系統(tǒng)可以及時發(fā)現(xiàn)并報警。該指標反映了系統(tǒng)的檢測能力。

（2）誤報率：指主機入侵檢測系統(tǒng)在未出現(xiàn)真實安全事件時發(fā)出警報的比例。該指標反映了系統(tǒng)的準確性。

（3）響應時間：指主機入侵檢測系統(tǒng)從發(fā)現(xiàn)安全事件到采取相應措施所花費的時間。該指標反映了系統(tǒng)的響應速度和處置能力。

（4）可擴展性：指主機入侵檢測系統(tǒng)能否根據(jù)業(yè)務需求進行靈活配置和擴展的能力，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術手段等。

（5）易用性：指主機入侵檢測系統(tǒng)是否易于配置、管理和維護。該指標反映了系統(tǒng)的用戶友好程度。

（6）抗干擾性：指主機入侵檢測系統(tǒng)在遭受惡意攻擊或其他干擾時的抵御能力，如防止被攻擊者篡改或關閉。

（7）數(shù)據(jù)處理能力：指主機入侵檢測系統(tǒng)能否高效地處理大量和復雜的數(shù)據(jù)流，如網(wǎng)絡流量、事件日志等。

在技術指標方面，主機入侵檢測系統(tǒng)需要具備多種技術手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數(shù)據(jù)挖掘等。此外，系統(tǒng)需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡流量、配置文件等。同時，系統(tǒng)還需要有良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數(shù)據(jù)安全和隱私保護。

一些參考的指標值

檢測率：入侵檢測系統(tǒng)應具備較高的攻擊檢測準確率，以盡可能地識別并報告已知和未知的入侵行為。

誤報率：虛警率應保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應時間：入侵檢測系統(tǒng)的響應時間應該越快越好，可以提高保護網(wǎng)絡免受攻擊的能力。一般來說，響應時間應該在幾秒鐘內完成。

系統(tǒng)資源占用率：入侵檢測系統(tǒng)應占用較少的系統(tǒng)資源，以確保不會對其他應用程序或服務產(chǎn)生負面影響。

數(shù)據(jù)處理速度：入侵檢測系統(tǒng)的數(shù)據(jù)處理速度應該足夠快，以確保能夠及時分析和報告所有的安全事件

1.8招標參考技術參數(shù)

檢測能力：系統(tǒng)應具備較高的攻擊檢測準確率，以盡可能地識別并報告已知和未知的入侵行為。

準確性：系統(tǒng)的虛警率應保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應速度：系統(tǒng)在發(fā)現(xiàn)安全事件后的響應時間應該越快越好，可以提高保護網(wǎng)絡免受攻擊的能力。一般來說，響應時間應該在幾秒鐘內完成。

可擴展性：系統(tǒng)應該具備良好的可擴展性，能夠根據(jù)業(yè)務需求進行靈活配置和擴展，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術手段等。

易用性：系統(tǒng)應該易于配置、管理和維護，反映了系統(tǒng)的用戶友好程度。

抗干擾性：系統(tǒng)應該具備較強的抵御惡意攻擊或其他干擾的能力，如防止被攻擊者篡改或關閉。

數(shù)據(jù)處理能力：系統(tǒng)應該具備高效地處理大量和復雜的數(shù)據(jù)流的能力，如網(wǎng)絡流量、事件日志等。

技術手段和數(shù)據(jù)源支持：系統(tǒng)應該具備多種技術手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數(shù)據(jù)挖掘等；同時還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡流量、配置文件等。

安全機制：系統(tǒng)應該具備良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數(shù)據(jù)安全和隱私保護。

系統(tǒng)資源占用率：系統(tǒng)應當占用較少的系統(tǒng)資源，以確保不會對其他應用程序或服務產(chǎn)生負面影響。

支持的操作系統(tǒng): Windows, Linux, MacOS等主流操作系統(tǒng)。

版本更新和維護支持：系統(tǒng)應該提供版本更新和維護支持服務，保障系統(tǒng)的長期穩(wěn)定運行。

1.9國家標準技術要求

（1）合規(guī)性

系統(tǒng)應符合國家相關信息安全技術標準要求。

（2）網(wǎng)絡拓撲支持

系統(tǒng)應支持多種網(wǎng)絡拓撲結構，包括集中式、分布式和混合結構等。

（3）攻擊檢測能力

系統(tǒng)應能夠檢測各種攻擊類型，例如端口掃描、漏洞利用、惡意代碼、DDoS攻擊等。

（4）報警準確率

系統(tǒng)在檢測到真實安全事件時，報警的準確率應高，不能產(chǎn)生虛警。準確率應達到90%以上，虛警率不得超過5%。

（5）響應時間

系統(tǒng)在發(fā)現(xiàn)安全事件后的響應時間應該越快越好，可以提高保護網(wǎng)絡免受攻擊的能力。系統(tǒng)響應時間應小于1秒。

（6）數(shù)據(jù)處理能力

系統(tǒng)應具備高效地處理大量和復雜的數(shù)據(jù)流的能力，如網(wǎng)絡流量、事件日志等。系統(tǒng)檢測準確率應達到90%以上。

（7）技術手段和數(shù)據(jù)源支持

系統(tǒng)應具備多種技術手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數(shù)據(jù)挖掘等；同時還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡流量、配置文件等。

（8）可擴展性

系統(tǒng)應該具備良好的可擴展性, 具有靈活配置、管理和維護的能力，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術手段等。系統(tǒng)無法脫離干擾環(huán)境工作時的可利用性應大于90%。

（9）易用性

系統(tǒng)應該易于配置、管理和維護，反映了系統(tǒng)的用戶友好程度。系統(tǒng)應支持主流操作系統(tǒng)，如Windows、Linux、MacOS等。

（10）故障恢復能力

系統(tǒng)應具有快速故障定位、恢復和維護的能力，以保證系統(tǒng)長期穩(wěn)定運行。

（11）安全機制

系統(tǒng)應該具備良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數(shù)據(jù)安全和隱私保護。

（12）性能指標

系統(tǒng)檢測準確率應達到90%以上，虛警率不得超過5%；系統(tǒng)響應時間應小于1秒；系統(tǒng)無法脫離干擾環(huán)境工作時的可利用性應大于90%。

1.10核心能力指標

（1）攻擊檢測能力：主機入侵檢測系統(tǒng)應能夠有效檢測各種攻擊類型，如漏洞利用、木馬攻擊、惡意軟件等，并能夠實現(xiàn)對零日漏洞的發(fā)現(xiàn)和防御。

（2）精準度：主機入侵檢測系統(tǒng)應具備較高的精準度，即能夠準確識別并區(qū)分合法的應用程序行為和攻擊行為，避免誤報和漏報。

（3）及時性：主機入侵檢測系統(tǒng)應針對入侵事件實現(xiàn)及時響應和預警，快速提供有效的告警和處置措施，減少安全事故損失。

（4）可擴展性：主機入侵檢測系統(tǒng)應具備良好的可擴展性，能夠靈活支持多種操作系統(tǒng)和應用環(huán)境，支持基于規(guī)則、基于特征、基于行為等多種檢測方式，同時可以結合其他安全設備協(xié)同工作。

（5）數(shù)據(jù)處理能力：主機入侵檢測系統(tǒng)應能夠高效處理和分析大量復雜的數(shù)據(jù)流，包括系統(tǒng)日志、進程信息、網(wǎng)絡流量、異常行為等。

（6）安全機制：主機入侵檢測系統(tǒng)應采用加密傳輸、權限控制、訪問授權等安全機制，確保數(shù)據(jù)傳輸和存儲的安全性和完整性。

（7）可視化：主機入侵檢測系統(tǒng)應具備良好的可視化功能，通過圖表、報表、實時監(jiān)控等方式，直觀展示系統(tǒng)安全狀態(tài)和異常情況，提供詳細的分析報告和警報信息。

（8）漏報率和誤報率：主機入侵檢測系統(tǒng)應具備較低的漏報率和誤報率，即盡可能減少未檢測到的攻擊事件，并減少不必要的警報和誤判。

（9）響應能力：主機入侵檢測系統(tǒng)應能夠及時響應和處理安全事件，并提供有效的處理措施，以減小安全風險和損失。

（10）可用性：主機入侵檢測系統(tǒng)應具備高可用性，能夠保障系統(tǒng)長期穩(wěn)定運行，包括快速故障定位、恢復和維護的能力，確保系統(tǒng)安全輸出。