入侵檢測(cè)系統(tǒng)通過基于不同介質(zhì)可以分為兩大類，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)，本篇文章主要介紹主機(jī)入侵檢測(cè)系統(tǒng)的工作原理、應(yīng)用和關(guān)于主機(jī)入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)，幫助用戶在入侵檢測(cè)系統(tǒng)的選用上做出抉擇。

HIDS的原理及體系結(jié)構(gòu)

主機(jī)入侵檢測(cè)系統(tǒng)通常在被重點(diǎn)檢測(cè)的主機(jī)上運(yùn)行一個(gè)代理程序。該代理程序扮演著檢測(cè)引擎的角色，它根據(jù)主機(jī)行為特征庫(kù)對(duì)受檢測(cè)主機(jī)上的可疑行為進(jìn)行采集、分析和判斷，并把警報(bào)信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號(hào)，以使管理員能確信代理程序工作正常。如果是個(gè)人主機(jī)入侵檢測(cè)，代理程序和控制端管理程序可以合并在一起，管理程序也簡(jiǎn)單得多。

不同的應(yīng)用范圍，對(duì)主機(jī)入侵檢測(cè)的要求也有不同。我們將其分為：個(gè)人、企業(yè)、政府、電信等多個(gè)級(jí)別。

1．個(gè)人級(jí)：由于個(gè)人電腦的配置較低，專供個(gè)人使用的入侵檢測(cè)產(chǎn)品在功能和性能上做了極大的簡(jiǎn)化。同時(shí)在易用性方面針對(duì)個(gè)人用戶又有了加強(qiáng)，如圖形界面的使用，配置向?qū)У裙δ堋?/p>

2．企業(yè)級(jí)：企業(yè)級(jí)的入侵檢測(cè)產(chǎn)品要求在性能、功能、易用性、成本等幾方面找到一個(gè)平衡點(diǎn)。

3．政府級(jí)：政府網(wǎng)絡(luò)雖然流量并不比企業(yè)網(wǎng)絡(luò)流量大，但是政府網(wǎng)絡(luò)的安全性顯然比其他特性更加受到重視。因此攻擊識(shí)別能力和實(shí)時(shí)響應(yīng)能力更為重要。

4．電信級(jí)：在電信企業(yè)的網(wǎng)絡(luò)中，進(jìn)出的數(shù)據(jù)流量是普通企業(yè)網(wǎng)絡(luò)的幾倍甚至幾百倍。實(shí)時(shí)檢測(cè)如此大的數(shù)據(jù)流量，對(duì)產(chǎn)品的攻擊識(shí)別能力、丟包率等性能指標(biāo)提出了極高的要求。

主機(jī)入侵檢測(cè)系統(tǒng)主要依靠主機(jī)行為特征進(jìn)行檢測(cè)。檢測(cè)系統(tǒng)可通過監(jiān)測(cè)系統(tǒng)日志和SNMP陷阱來尋找某些模式，這些模式可能意味著一大堆安全上很重要的事件。檢測(cè)系統(tǒng)的特征庫(kù)包括很多類操作系統(tǒng)上的事件。這些事件檢查可疑的文件傳輸，受拒的登錄企圖，物理信息(如一塊以太網(wǎng)卡被設(shè)為混雜模式)，以及系統(tǒng)重啟。特征庫(kù)也可包括來自許多應(yīng)用程序和服務(wù)的安全訊息，如Secure Shell、Sendmail、Qmail、Bind和Apache Web服務(wù)器。

基于主機(jī)的入侵檢測(cè)系統(tǒng)的一個(gè)優(yōu)勢(shì)就是它可以根據(jù)結(jié)果來進(jìn)行判斷。判據(jù)之一就是關(guān)鍵系統(tǒng)文件有沒有在未經(jīng)允許的情況下被修改，包括訪問時(shí)間、文件大小和MD5密碼校驗(yàn)值。
主機(jī)入侵檢測(cè)系統(tǒng)需要和現(xiàn)有的系統(tǒng)緊密集成，當(dāng)然支持的平臺(tái)越多越好。目前的主流商業(yè)入侵檢測(cè)系統(tǒng)通常支持或?qū)⒅С执蟛糠种髁鞯钠髽I(yè)級(jí)Windows和Unix系統(tǒng)。
在Window NT/2000中，系統(tǒng)有自帶的安全工具，類似于早期 Windows 版本的策略編輯器。利用這個(gè)工具可以使安全策略的規(guī)劃和實(shí)施變得更為容易。安全策略問題包括賬號(hào)策略、本地策略、共鑰策略和IP安全策略。系統(tǒng)中違反安全策略的行為都作為事件發(fā)送給系統(tǒng)安全日志。主機(jī)入侵檢測(cè)可以根據(jù)安全日志分析判斷入侵行為。

在主機(jī)入侵檢測(cè)系統(tǒng)中，不管在什么操作系統(tǒng)，普遍用到各種勾子技術(shù)對(duì)系統(tǒng)的各種事件，活動(dòng)進(jìn)行截獲分析。在Win NT/2000中，由于系統(tǒng)中的各種API 子系統(tǒng)，如Win32 子系統(tǒng)、Posix 子系統(tǒng)及其他系統(tǒng)最終都要調(diào)用相應(yīng)的系統(tǒng)服務(wù)例程(System Services Routines)，所以可以對(duì)系統(tǒng)服務(wù)例程勾子化。入侵檢測(cè)系統(tǒng)通過捕獲操作文件系統(tǒng)和注冊(cè)表的函數(shù)來檢測(cè)對(duì)文件系統(tǒng)和注冊(cè)表的非法操作。在有些系統(tǒng)中，可以通過拷貝勾子處理函數(shù)不僅可以對(duì)敏感文件或目錄檢測(cè)非法操作，還可以阻止對(duì)文件或目錄的操作。

撥號(hào)檢測(cè)在主機(jī)入侵檢測(cè)系統(tǒng)中也有其特殊的用途。在很多重要部門中都裝有內(nèi)部網(wǎng)，出于對(duì)信息的高度安全要求，公司（或部門）不希望有員工私自安裝Modem撥號(hào)入網(wǎng)。安裝于內(nèi)部網(wǎng)中的帶有撥號(hào)檢測(cè)的主機(jī)入侵檢測(cè)系統(tǒng)可以檢測(cè)到員工的這種違規(guī)行為，及時(shí)阻止。在內(nèi)部網(wǎng)中，阻止員工侵入其他員工的系統(tǒng)竊取機(jī)密信息也是需要的，這通常需要主機(jī)入侵檢測(cè)系統(tǒng)對(duì)不同主機(jī)中的敏感文件或目錄進(jìn)行檢測(cè)。

HIDS的優(yōu)缺點(diǎn)

相對(duì)于網(wǎng)絡(luò)入侵檢測(cè)，主機(jī)入侵檢測(cè)有以下優(yōu)點(diǎn)：
◆ 性價(jià)比高 在主機(jī)數(shù)量較少的情況下,這種方法的性價(jià)比可能更高。
◆ 更加細(xì)致 這種方法可以很容易地監(jiān)測(cè)一些活動(dòng),如對(duì)敏感文件、目錄、程序或端口的存取,而這些活動(dòng)很難在基于協(xié)議的線索中被發(fā)現(xiàn)。
◆ 視野集中 一旦入侵者得到了一個(gè)主機(jī)的用戶名和口令,基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法活動(dòng)的。
◆ 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理,用戶剪裁更方便。
◆ 較少的主機(jī) 基于主機(jī)的方法不需要增加專門的硬件平臺(tái)。
◆ 對(duì)網(wǎng)絡(luò)流量不敏感 用代理的方式一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟失對(duì)網(wǎng)絡(luò)行為的監(jiān)視。
當(dāng)然，主機(jī)入侵檢測(cè)系統(tǒng)也有它的局限性：
◆ 操作系統(tǒng)局限 不象NIDS，廠家可以自己定制一個(gè)足夠安全的操作系統(tǒng)來保證NIDS自身的安全，HIDS的安全性受其所在主機(jī)操作系統(tǒng)的安全性限制。
◆ 系統(tǒng)日志限制 HIDS會(huì)通過監(jiān)測(cè)系統(tǒng)日志來發(fā)現(xiàn)可疑的行為，但有些程序的系統(tǒng)日志并不詳細(xì)，或者沒有日志。有些入侵行為本身不會(huì)被具有系統(tǒng)日志的程序紀(jì)錄下來。
◆ 被修改過的系統(tǒng)核心能夠騙過文件檢查 如果入侵者修改系統(tǒng)核心，則可以騙過基于文件一致性檢查的工具。
 

【編輯推薦】

1. 如何構(gòu)建入門級(jí)IDS
2. IDS漏洞分析與黑客入侵手法
3. 測(cè)試評(píng)估IDS的性能指標(biāo)
4. 正確評(píng)估IDS性能的標(biāo)準(zhǔn)與步驟
5. 企業(yè)測(cè)試IDS的四條重要標(biāo)準(zhǔn)