基于主机入侵检测系统

基于主机的入侵检测系统(Host-based IDS,HIDS)出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在这样的环境里，检查可疑行为的审计记录相对比较容易，况且在当时入侵行为非常少，通过对攻击的事后分析就可以防止随后的攻击。同样，目前HIDS仍使用审计记录，但主机能自动进行检测，而且能准确及时地作出响应。通常，HIDS监视分析系统、事件和安全记录。例如，当有文件发生变化时，HIDS将新的记录条目与攻击标记相比较，看其是否匹配，如果匹配系统就会向管理员报警。在HIDS中，对关键的系统文件和可执行文件的入侵检测是主要内容之一，通常进行定期检查校验和，以便发现异常变化。此外，大多数HIDS产品都监听端口的活动，在特定端口被访问时向管理员报警。

HIDS的主要特点如下。

(1)监视特定的系统活动

HIDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件或者试图访问特殊的设备。

(2)能够检查到基于网络的入侵检查系统检查不出的攻击

HIDS可以检测到那些基于网络的入侵检测系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。

(3)适用于采用了数据加密和交换式连接的子网环境

由于}[IDS安装在遍布子网的各种丰机上，它们比基于网络的入侵检测系统更加适于交换式连接和进行了数据加密的环境。

(4)有较高的实时性

尽管HIDS不能提供真正实时的反应，但如果应用正确，反应速度可以非常接近实时。尽管在从操作系统作出记录到HIDS得到检测结果之间的这段时间有一段延迟，但大多数情

况下，在破坏发生之前，系统就能发现入侵者，并中止他的攻击。

(5)不需增加额外的硬件设备

HIDS存在于现行网络结构之中，包括文件服务器，Web服务器及其他共享资源。这使得基于主机的系统效率很高。