HIDS如何保护主机系统

技术上看，入侵检测系统基本上可分为两类:基于网络(NIDS)和基于主机(HIDS)。本文主要介绍基于主机的入侵检测系统，包括它的主要用途、基本工作原理和方式、优缺点、现状和发展趋势等。 　　HIDS的原理及体系结构 　　主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把警报信息发送给控制端程序，由管理员集中管理。此外，代理程序需要定期给控制端发出信号，以使管理员能确信代理程序工作正常。如果是个人主机入侵检测，代理程序和控制端管理程序可以合并在一起，管理程序也简单得多。 　　不同的应用范围，对主机入侵检测的要求也有不同。我们将其分为：个人、企业、政府、电信等多个级别。 　　1．个人级：由于个人电脑的配置较低，专供个人使用的入侵检测产品在功能和性能上做了极大的简化。同时在易用性方面针对个人用户又有了加强，如图形界面的使用，配置向导等功能。 　　2．企业级：企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到一个平衡点。 　　3．政府级：政府网络虽然流量并不比企业网络流量大，但是政府网络的安全性显然比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。 　　4．电信级：在电信企业的网络中，进出的数据流量是普通企业网络的几倍甚至几百倍。实时检测如此大的数据流量，对产品的攻击识别能力、丢包率等性能指标提出了极高的要求。 　　主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志和 MP陷阱来寻找某些模式，这些模式可能意味着一大堆安全上很重要的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输，受拒的登录企图，物理信息(如一块以太网卡被设为混杂模式)，以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息，如Secure hell、Sendmail、Qmail、Bind和Apache Web服务器。 　　基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就是关键系统文件有没有在未经允许的情况下被修改，包括访问时间、文件大小和MD5密码校验值。 　　主机入侵检测系统需要和现有的系统紧密集成，当然支持的平台越多越好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级Windows和Unix系统。 　　在Window T/2000中，系统有自带的安全工具，类似于早期 Window 版本的策略编辑器。利用这个工具可以使安全策略的规划和实施变得更为容易。安全策略问题包括账号策略、本地策略、共钥策略和IP安全策略。系统中违反安全策略的行为都作为事件发送给系统安全日志。主机入侵检测可以根据安全日志分析判断入侵行为。 　　在主机入侵检测系统中，不管在什么操作系统，普遍用到各种勾子技术对系统的各种事件，活动进行截获分析。在Wi T/2000中，由于系统中的各种API 子系统，如Win32 子系统、Posix 子系统及其他系统最终都要调用相应的系统服务例程(System ervice Routines)，所以可以对系统服务例程勾子化。入侵检测系统通过捕获操作文件系统和注册表的函数来检测对文件系统和注册表的非法操作。在有些系统中，可以通过拷贝勾子处理函数不仅可以对敏感文件或目录检测非法操作，还可以阻止对文件或目录的操作。 　　拨号检测在主机入侵检测系统中也有其特殊的用途。在很多重要部门中都装有内部网，出于对信息的高度安全要求，公司(或部门)不希望有员工私自安装Modem拨号入网。安装于内部网中的带有拨号检测的主机入侵检测系统可以检测到员工的这种违规行为，及时阻止。在内部网中，阻止员工侵入其他员工的系统窃取机密信息也是需要的，这通常需要主机入侵检测系统对不同主机中的敏感文件或目录进行检测。 　　HIDS的优缺点 　　相对于网络入侵检测，主机入侵检测有以下优点： 　　◆ 性价比高 在主机数量较少的情况下,这种方法的性价比可能更高。 此文来自电脑_故障网
　　◆ 更加细致 这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。