1、什么是HIDS
HIDS (Host-based Intrusion Detection System)基於主機的入侵檢測系統,區別於NIDS(基於網絡的入侵檢測系統),HIDS專注於系統內部,監測系統的動態行為以及整個系統的狀態。
HIDS將探頭(代理)安裝在受保衛系統中,它要求與操作系統內核和服務緊密捆綁在一起,監控各種系統事件,如對內核或API的調用,以此來防御攻擊並對這些事件執行日志;還可以監測特定的系統文件和可執行文件調用,以及Windows 下的安全記錄和Unix環境下的系統記錄。對於特別設定的關鍵文件和文件夾也可以執行適時輪詢的監控。
HIDS能對檢測的入侵行為、事件給予積極的反應,比如斷開連接、封掉用戶賬號、殺死進程、提交警報等等。如果某用戶在系統中植入了一個未知的木馬病毒,可能所有的殺病毒軟件、IDS等等的病毒庫、攻擊庫中都沒有記載,但只要這個木馬程序開始工作,如提升用戶權限、非法修改系統文件、調用被監控文件和文件夾等,就會立即被HIDS的發覺,並采取殺死進程、封掉賬號,甚至斷開網絡連接。現在的某些HIDS甚至吸取了部分網管、訪問控制等方面的技能,能夠很好地與系統,甚至系統上的運用緊密結合。
IDS基本流程:收集信息 -> 分析信息 -> 給出結論 -> 做出反應
2、缺陷
由於HIDS 需要直接安裝在主機上,所以需要重點關注以下兩點:
- 對主機性能的影響:HIDS agent 需要占用盡量少的資源來完成盡量完整的監控;如果主機性能由於agent導致明顯下降,這是得不償失的
- 對主機穩定性影響:應用於服務器必然會涉及到兼容性問題,需要針對各種不通內核的機器都做好兼容性處理。如果是針對個人PC還好,重啟一下損失不會很大,但是如果agent位於關鍵服務器上,服務器宕機一次,損失可能不可估量。
3、前景
由於HIDS不像NIDS有許多可以數據化的技能指標,而且又要在被監控的主機上安裝探頭(代理),使得運用對它都有一定的擔憂。所以對於系統穩定性比較高的一些行業像銀行、電信等對其運用 ,都非常謹慎。而對於國防、軍工、機要保密等領域,對系統的安全、特別是信息安全要求比較高,而對系統的穩定性不是太敏感,而且更關注來自內部的攻擊(一般這些領域的信息系統是不與公網相連的),所以對HIDS的運用比較容易接受,反而NIDS不是很看重。
在2021年這個時間,很多大型互聯網企業,內網中已經開始部署自研 HIDS 了,如騰訊,美團等。騰訊的自研HIDS,主要功能包括黑客入侵行為發現、服務器安全漏洞檢測與加固、服務器基礎信息收集等。
美團技術論壇也有相關的帖子:保障IDC安全:分布式HIDS集群架構設計
隨着這幾年雲計算產業的發展,Linux 上的輕量級類 HIDS 技術還是會有一定市場的,主要是雲廠商自研自用,搞獨立商業產品前景不明朗。