HIDS是什么，如何保护主机系统-编程知识

随着网络安全攻防对抗的日趋激烈，主机当前企业和组织的安全运营工作面临的挑战越来越突出，外网防护的同时，内网主机安全防护也越来越重要。

HIDS(Host-based Intrusion Detection System)，是基于主机型入侵检测系统的简称。作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。作为传统攻防视角的重要一环有着不可替代的作用，可以有效的检测到从网络层面难以发现的安全问题，如：后门，反弹shell，恶意操作，主机组件安全漏洞，系统用户管理安全问题，主机基线安全风险等。

HIDS的原理及体系结构

主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把警报信息发送给控制端程序，由管理员集中管理。此外，代理程序需要定期给控制端发出信号，以使管理员能确信代理程序工作正常。如果是个人主机入侵检测，代理程序和控制端管理程序可以合并在一起，管理程序也简单得多。

不同的应用范围，对主机入侵检测的要求也有不同。我们将其分为：个人、企业、政府、电信等多个级别。

个人级：由于个人电脑的配置较低，专供个人使用的入侵检测产品在功能和性能上做了极大的简化。同时在易用性方面针对个人用户又有了加强，如图形界面的使用，配置向导等功能。

企业级：企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到一个平衡点。

政府级：政府网络虽然流量并不比企业网络流量大，但是政府网络的安全性显然比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。

电信级：在电信企业的网络中，进出的数据流量是普通企业网络的几倍甚至几百倍。实时检测如此大的数据流量，对产品的攻击识别能力、丢包率等性能指标提出了极高的要求。

主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志和SNMP陷阱来寻找某些模式，这些模式可能意味着一大堆安全上很重要的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输，受拒的登录企图，物理信息(如一块以太网卡被设为混杂模式)，以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息

基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就是关键系统文件有没有在未经允许的情况下被修改，包括访问时间、文件大小和MD5密码校验值。

主机入侵检测系统需要和现有的系统紧密集成，当然支持的平台越多越好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级Windows和Unix系统。

相对于网络入侵检测，主机入侵检测有以下优点：

1.性价比高在主机数量较少的情况下,这种方法的性价比可能更高。

2.更加细致这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。

3.视野集中一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法活动的。

针对主机安全这块，德迅卫士采用自适应安全架构，有效解决传统专注防御手段的被动处境，为系统添加强大的实时监控和响应能力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。自适应安全架构核心理念也就是上文提到的：持续监控与分析以及安全能力协同联动。

德迅卫士为什么会这么适合呢？因为德迅卫士核心平台架构，主要由 Agent、Engine、Console三部分构成，为产品服务提供基础的、灵活的、稳固的核心能力支持。

一、Agent - 主机探针

Agent只需要一条命令就能在主机上完成安装，且自动适配各种物理机、虚拟机和云环境，运行稳定、消耗低，能够持续收集主机进程、端口和账号信息，并实时监控进程、网络连接等行为，还能与Server端通信，执行其下发的任务，主动发现主机问题。

二、Engine - 安全引擎

Server作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续分析检测从各个Agent上接收到的信息和行为并进行保存，可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为，从而实现对入侵行为实时预警。