1.1定義

   主機(jī)入侵檢測(cè)系統(tǒng)(host—based IDS，HIDS)的檢測(cè)目標(biāo)主要是主機(jī)系統(tǒng)和本地用戶。檢測(cè)原理是在每個(gè)需要保護(hù)的端系統(tǒng)(主機(jī))上運(yùn)行代理程序(agent)，以主機(jī)的審計(jì)數(shù)據(jù)、系統(tǒng)日志、應(yīng)用程序日志等為數(shù)據(jù)源，主要對(duì)主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及主機(jī)文件進(jìn)行分析和判斷，發(fā)現(xiàn)可疑事件并作出響應(yīng)。

1.2工作原理

其工作原理主要包括如下幾個(gè)方面：

（1）事件采集：主機(jī)入侵檢測(cè)系統(tǒng)通過數(shù)據(jù)采集器實(shí)時(shí)監(jiān)測(cè)操作系統(tǒng)及服務(wù)器軟件的安全事件和信息，例如進(jìn)程信息、端口信息、用戶登錄行為、文件變化、內(nèi)存使用等等。

（2）事件分析：主機(jī)入侵檢測(cè)系統(tǒng)采集到的事件信息會(huì)通過安全分析引擎進(jìn)行整合和分析，比如對(duì)事件的來源、目標(biāo)、行為、風(fēng)險(xiǎn)程度等進(jìn)行分析，以此識(shí)別出潛在的安全威脅。

（3）漏洞掃描：主機(jī)入侵檢測(cè)系統(tǒng)還可以針對(duì)操作系統(tǒng)和應(yīng)用程序的漏洞進(jìn)行掃描，并及時(shí)發(fā)現(xiàn)并報(bào)告可利用漏洞的攻擊行為。

（4）告警產(chǎn)生：當(dāng)主機(jī)入侵檢測(cè)系統(tǒng)識(shí)別到潛在的安全威脅時(shí)，會(huì)通過告警方式進(jìn)行報(bào)警，例如生成日志文件、發(fā)送郵件、短信通知等等，以及提供相應(yīng)的解決方案，幫助管理員及時(shí)采取響應(yīng)措施。

1.3主機(jī)入侵檢測(cè)系統(tǒng)的主要功能

主要功能包括：

實(shí)時(shí)監(jiān)測(cè)和檢測(cè)服務(wù)器、應(yīng)用程序及數(shù)據(jù)庫(kù)的行為，發(fā)現(xiàn)可能存在的安全威脅。

分析事件并進(jìn)行警報(bào)，指導(dǎo)管理員及時(shí)采取相應(yīng)的措施來應(yīng)對(duì)安全威脅。

分析漏洞情況并針對(duì)漏洞提供建議。

支持日志記錄和分析，提供安全審計(jì)和合規(guī)性檢查功能。

提供安全預(yù)警和遠(yuǎn)程管理等功能，方便管理員集中管理和維護(hù)主機(jī)入侵檢測(cè)系統(tǒng)。

1.4國(guó)家相關(guān)標(biāo)準(zhǔn)

《信息安全技術(shù) 企業(yè)級(jí)主機(jī)入侵檢測(cè)系統(tǒng) 技術(shù)規(guī)范》 （GB/T 28448-2012）：該標(biāo)準(zhǔn)規(guī)定了企業(yè)級(jí)主機(jī)入侵檢測(cè)系統(tǒng)的技術(shù)要求、測(cè)試方法和評(píng)價(jià)要求，是中國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)于2012年發(fā)布的第一部主機(jī)入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)。

《信息安全技術(shù) 云計(jì)算環(huán)境下基礎(chǔ)設(shè)施主機(jī)入侵檢測(cè)通用規(guī)范》（GB/T 34169-2017）：該標(biāo)準(zhǔn)提出了在云計(jì)算環(huán)境下基礎(chǔ)設(shè)施主機(jī)入侵檢測(cè)的要求，并給出了相應(yīng)的技術(shù)規(guī)范和測(cè)試方法。

《信息安全技術(shù) 電子政務(wù)主機(jī)入侵檢測(cè)通用規(guī)范》（GB/T 34335-2017）：該標(biāo)準(zhǔn)指導(dǎo)電子政務(wù)系統(tǒng)使用主機(jī)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)控和攻擊防護(hù)等功能，提高系統(tǒng)安全性和可靠性。

此外，還有一些行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化組織的推薦標(biāo)準(zhǔn)，如中華人民共和國(guó)公安部頒布的《警用主機(jī)防護(hù)系統(tǒng)技術(shù)要求與測(cè)試方法》（GA/T 758-2017）和國(guó)際標(biāo)準(zhǔn)化組織發(fā)布的《信息技術(shù) 安全技術(shù) 威脅情報(bào)共享》（ISO/IEC 30111:2013）等等。

1.5主機(jī)入侵檢測(cè)分類及定級(jí)

1.主機(jī)入侵檢測(cè)分類

主機(jī)入侵檢測(cè)可以根據(jù)其實(shí)現(xiàn)方式和檢測(cè)目的進(jìn)行分類，一般分為以下幾種：

基于規(guī)則的檢測(cè)：基于規(guī)則的檢測(cè)系統(tǒng)利用特定的規(guī)則集來判斷主機(jī)上是否存在安全威脅。這些規(guī)則集可以基于攻擊行為、惡意代碼、異常流量等方面進(jìn)行定義。當(dāng)檢測(cè)到與規(guī)則集匹配的情況時(shí)，該系統(tǒng)將產(chǎn)生警報(bào)或采取其他響應(yīng)措施。

基于模型的檢測(cè)：基于模型的檢測(cè)系統(tǒng)使用事先構(gòu)建好的主機(jī)行為模型來檢測(cè)主機(jī)的正常和異常行為。該系統(tǒng)通過對(duì)主機(jī)行為的學(xué)習(xí)和建模，可以有效地檢測(cè)新的威脅和未知漏洞等問題。

基于特征的檢測(cè)：基于特征的檢測(cè)系統(tǒng)通過分析主機(jī)上的日志或其他信息來識(shí)別潛在的安全問題。該檢測(cè)方法可以檢測(cè)網(wǎng)絡(luò)流量、文件操作、進(jìn)程監(jiān)控等不同類型的事件。

2.主機(jī)入侵檢測(cè)級(jí)別

根據(jù)其檢測(cè)結(jié)果的安全級(jí)別，主機(jī)入侵檢測(cè)可以分為以下幾個(gè)級(jí)別：

一級(jí)警報(bào)：通常表示較低的風(fēng)險(xiǎn)，比如一些普通攻擊或者非惡意的行為等。

二級(jí)警報(bào)：表示較高風(fēng)險(xiǎn)，比如某些特定攻擊或惡意軟件的行為等。

三級(jí)警報(bào)：表示非常高的風(fēng)險(xiǎn)，例如某些高級(jí)網(wǎng)絡(luò)攻擊或者系統(tǒng)崩潰等等。

根據(jù)不同的安全級(jí)別，管理員可以采取相應(yīng)的響應(yīng)措施，來及時(shí)應(yīng)對(duì)主機(jī)入侵和其他安全事件。

3.主機(jī)入侵檢測(cè)系統(tǒng)檢測(cè)對(duì)象

（1）進(jìn)程和線程：該類型檢測(cè)通常監(jiān)控主機(jī)上的進(jìn)程和線程活動(dòng)，比如檢測(cè)是否存在異常進(jìn)程、異常線程或者進(jìn)程權(quán)限的變化。

（2）事件日志：該類型檢測(cè)通常涉及對(duì)主機(jī)事件日志進(jìn)行監(jiān)控，包括登錄成功失敗、文件訪問、網(wǎng)絡(luò)連接等事件，通過分析這些事件可以判斷是否存在非法操作或異常行為。

（3）文件和系統(tǒng)配置：該類型檢測(cè)主要監(jiān)控主機(jī)上的文件系統(tǒng)和系統(tǒng)配置變化，比如檢測(cè)文件的插入和刪除、系統(tǒng)配置的變化以及重要文件是否被篡改。

（4）網(wǎng)絡(luò)流量：該類型檢測(cè)主要通過監(jiān)控主機(jī)上的網(wǎng)絡(luò)流量，判斷是否存在異常的數(shù)據(jù)包流量或者進(jìn)行惡意攻擊的流量。

（5）性能和資源消耗：該類型檢測(cè)主要是通過監(jiān)控主機(jī)上的性能和資源消耗情況，判斷是否出現(xiàn)異常的資源消耗或性能下降現(xiàn)象，比如CPU利用率、內(nèi)存使用情況等。

1.6主機(jī)入侵檢測(cè)系統(tǒng)優(yōu)缺點(diǎn)

1.優(yōu)點(diǎn)

實(shí)時(shí)監(jiān)控：主機(jī)入侵檢測(cè)系統(tǒng)可以在實(shí)時(shí)監(jiān)控主機(jī)的行為，及時(shí)發(fā)現(xiàn)和響應(yīng)安全威脅，減少損失。

精度高：主機(jī)入侵檢測(cè)系統(tǒng)可以通過多種技術(shù)來檢測(cè)各種類型的威脅，包括惡意軟件、網(wǎng)絡(luò)攻擊等，具有較高的檢測(cè)準(zhǔn)確性。

自主學(xué)習(xí)：一些先進(jìn)的主機(jī)入侵檢測(cè)系統(tǒng)能夠自主學(xué)習(xí)主機(jī)正常操作行為，并建立相應(yīng)的安全模型，從而提高了檢測(cè)效率和準(zhǔn)確性。

靈活性：主機(jī)入侵檢測(cè)系統(tǒng)可以根據(jù)不同的企業(yè)需求進(jìn)行定制，提供靈活的部署方式，包括分布式架構(gòu)和云端部署等。

2.缺點(diǎn)

漏報(bào)和誤報(bào)：主機(jī)入侵檢測(cè)系統(tǒng)可能會(huì)因?yàn)橐?guī)則集或模型構(gòu)建不完善而出現(xiàn)漏報(bào)或誤報(bào)，降低了安全檢測(cè)的可信度。

資源消耗：主機(jī)入侵檢測(cè)系統(tǒng)需要大量的系統(tǒng)資源來運(yùn)行和存儲(chǔ)數(shù)據(jù)，可能會(huì)影響系統(tǒng)性能和容量。

依賴性：主機(jī)入侵檢測(cè)系統(tǒng)需要不斷升級(jí)和更新才能保持檢測(cè)效果，同時(shí)也需要根據(jù)不同的應(yīng)用場(chǎng)景來定制規(guī)則集和模型，增加了企業(yè)的管理成本。

綜上所述，主機(jī)入侵檢測(cè)系統(tǒng)雖然具有一些優(yōu)點(diǎn)和特點(diǎn)，但其仍需不斷完善和優(yōu)化才能更好地適應(yīng)企業(yè)的安全需求。

1.7主機(jī)入侵檢測(cè)系統(tǒng)的性能指標(biāo)和技術(shù)指標(biāo)

主機(jī)入侵檢測(cè)系統(tǒng)的性能指標(biāo)和技術(shù)指標(biāo)通常包括以下幾個(gè)方面：

（1）檢測(cè)率：指主機(jī)入侵檢測(cè)系統(tǒng)在檢測(cè)到真實(shí)安全事件的能力，即出現(xiàn)安全威脅時(shí)系統(tǒng)可以及時(shí)發(fā)現(xiàn)并報(bào)警。該指標(biāo)反映了系統(tǒng)的檢測(cè)能力。

（2）誤報(bào)率：指主機(jī)入侵檢測(cè)系統(tǒng)在未出現(xiàn)真實(shí)安全事件時(shí)發(fā)出警報(bào)的比例。該指標(biāo)反映了系統(tǒng)的準(zhǔn)確性。

（3）響應(yīng)時(shí)間：指主機(jī)入侵檢測(cè)系統(tǒng)從發(fā)現(xiàn)安全事件到采取相應(yīng)措施所花費(fèi)的時(shí)間。該指標(biāo)反映了系統(tǒng)的響應(yīng)速度和處置能力。

（4）可擴(kuò)展性：指主機(jī)入侵檢測(cè)系統(tǒng)能否根據(jù)業(yè)務(wù)需求進(jìn)行靈活配置和擴(kuò)展的能力，如增加新的檢測(cè)規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。

（5）易用性：指主機(jī)入侵檢測(cè)系統(tǒng)是否易于配置、管理和維護(hù)。該指標(biāo)反映了系統(tǒng)的用戶友好程度。

（6）抗干擾性：指主機(jī)入侵檢測(cè)系統(tǒng)在遭受惡意攻擊或其他干擾時(shí)的抵御能力，如防止被攻擊者篡改或關(guān)閉。

（7）數(shù)據(jù)處理能力：指主機(jī)入侵檢測(cè)系統(tǒng)能否高效地處理大量和復(fù)雜的數(shù)據(jù)流，如網(wǎng)絡(luò)流量、事件日志等。

在技術(shù)指標(biāo)方面，主機(jī)入侵檢測(cè)系統(tǒng)需要具備多種技術(shù)手段，例如基于規(guī)則的檢測(cè)、基于特征的檢測(cè)、異常檢測(cè)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等。此外，系統(tǒng)需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。同時(shí)，系統(tǒng)還需要有良好的安全機(jī)制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護(hù)。

一些參考的指標(biāo)值

檢測(cè)率：入侵檢測(cè)系統(tǒng)應(yīng)具備較高的攻擊檢測(cè)準(zhǔn)確率，以盡可能地識(shí)別并報(bào)告已知和未知的入侵行為。

誤報(bào)率：虛警率應(yīng)保持低水平，以確保安全管理員不會(huì)被過于頻繁的誤報(bào)所困擾。

響應(yīng)時(shí)間：入侵檢測(cè)系統(tǒng)的響應(yīng)時(shí)間應(yīng)該越快越好，可以提高保護(hù)網(wǎng)絡(luò)免受攻擊的能力。一般來說，響應(yīng)時(shí)間應(yīng)該在幾秒鐘內(nèi)完成。

系統(tǒng)資源占用率：入侵檢測(cè)系統(tǒng)應(yīng)占用較少的系統(tǒng)資源，以確保不會(huì)對(duì)其他應(yīng)用程序或服務(wù)產(chǎn)生負(fù)面影響。

數(shù)據(jù)處理速度：入侵檢測(cè)系統(tǒng)的數(shù)據(jù)處理速度應(yīng)該足夠快，以確保能夠及時(shí)分析和報(bào)告所有的安全事件

1.8招標(biāo)參考技術(shù)參數(shù)

檢測(cè)能力：系統(tǒng)應(yīng)具備較高的攻擊檢測(cè)準(zhǔn)確率，以盡可能地識(shí)別并報(bào)告已知和未知的入侵行為。

準(zhǔn)確性：系統(tǒng)的虛警率應(yīng)保持低水平，以確保安全管理員不會(huì)被過于頻繁的誤報(bào)所困擾。

響應(yīng)速度：系統(tǒng)在發(fā)現(xiàn)安全事件后的響應(yīng)時(shí)間應(yīng)該越快越好，可以提高保護(hù)網(wǎng)絡(luò)免受攻擊的能力。一般來說，響應(yīng)時(shí)間應(yīng)該在幾秒鐘內(nèi)完成。

可擴(kuò)展性：系統(tǒng)應(yīng)該具備良好的可擴(kuò)展性，能夠根據(jù)業(yè)務(wù)需求進(jìn)行靈活配置和擴(kuò)展，如增加新的檢測(cè)規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。

易用性：系統(tǒng)應(yīng)該易于配置、管理和維護(hù)，反映了系統(tǒng)的用戶友好程度。

抗干擾性：系統(tǒng)應(yīng)該具備較強(qiáng)的抵御惡意攻擊或其他干擾的能力，如防止被攻擊者篡改或關(guān)閉。

數(shù)據(jù)處理能力：系統(tǒng)應(yīng)該具備高效地處理大量和復(fù)雜的數(shù)據(jù)流的能力，如網(wǎng)絡(luò)流量、事件日志等。

技術(shù)手段和數(shù)據(jù)源支持：系統(tǒng)應(yīng)該具備多種技術(shù)手段，例如基于規(guī)則的檢測(cè)、基于特征的檢測(cè)、異常檢測(cè)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等；同時(shí)還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。

安全機(jī)制：系統(tǒng)應(yīng)該具備良好的安全機(jī)制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護(hù)。

系統(tǒng)資源占用率：系統(tǒng)應(yīng)當(dāng)占用較少的系統(tǒng)資源，以確保不會(huì)對(duì)其他應(yīng)用程序或服務(wù)產(chǎn)生負(fù)面影響。

支持的操作系統(tǒng): Windows, Linux, MacOS等主流操作系統(tǒng)。

版本更新和維護(hù)支持：系統(tǒng)應(yīng)該提供版本更新和維護(hù)支持服務(wù)，保障系統(tǒng)的長(zhǎng)期穩(wěn)定運(yùn)行。

1.9國(guó)家標(biāo)準(zhǔn)技術(shù)要求

（1）合規(guī)性

系統(tǒng)應(yīng)符合國(guó)家相關(guān)信息安全技術(shù)標(biāo)準(zhǔn)要求。

（2）網(wǎng)絡(luò)拓?fù)渲С?/p>

系統(tǒng)應(yīng)支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，包括集中式、分布式和混合結(jié)構(gòu)等。

（3）攻擊檢測(cè)能力

系統(tǒng)應(yīng)能夠檢測(cè)各種攻擊類型，例如端口掃描、漏洞利用、惡意代碼、DDoS攻擊等。

（4）報(bào)警準(zhǔn)確率

系統(tǒng)在檢測(cè)到真實(shí)安全事件時(shí)，報(bào)警的準(zhǔn)確率應(yīng)高，不能產(chǎn)生虛警。準(zhǔn)確率應(yīng)達(dá)到90%以上，虛警率不得超過5%。

（5）響應(yīng)時(shí)間

系統(tǒng)在發(fā)現(xiàn)安全事件后的響應(yīng)時(shí)間應(yīng)該越快越好，可以提高保護(hù)網(wǎng)絡(luò)免受攻擊的能力。系統(tǒng)響應(yīng)時(shí)間應(yīng)小于1秒。

（6）數(shù)據(jù)處理能力

系統(tǒng)應(yīng)具備高效地處理大量和復(fù)雜的數(shù)據(jù)流的能力，如網(wǎng)絡(luò)流量、事件日志等。系統(tǒng)檢測(cè)準(zhǔn)確率應(yīng)達(dá)到90%以上。

（7）技術(shù)手段和數(shù)據(jù)源支持

系統(tǒng)應(yīng)具備多種技術(shù)手段，例如基于規(guī)則的檢測(cè)、基于特征的檢測(cè)、異常檢測(cè)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等；同時(shí)還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。

（8）可擴(kuò)展性

系統(tǒng)應(yīng)該具備良好的可擴(kuò)展性, 具有靈活配置、管理和維護(hù)的能力，如增加新的檢測(cè)規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。系統(tǒng)無法脫離干擾環(huán)境工作時(shí)的可利用性應(yīng)大于90%。

（9）易用性

系統(tǒng)應(yīng)該易于配置、管理和維護(hù)，反映了系統(tǒng)的用戶友好程度。系統(tǒng)應(yīng)支持主流操作系統(tǒng)，如Windows、Linux、MacOS等。

（10）故障恢復(fù)能力

系統(tǒng)應(yīng)具有快速故障定位、恢復(fù)和維護(hù)的能力，以保證系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行。

（11）安全機(jī)制

系統(tǒng)應(yīng)該具備良好的安全機(jī)制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護(hù)。

（12）性能指標(biāo)

系統(tǒng)檢測(cè)準(zhǔn)確率應(yīng)達(dá)到90%以上，虛警率不得超過5%；系統(tǒng)響應(yīng)時(shí)間應(yīng)小于1秒；系統(tǒng)無法脫離干擾環(huán)境工作時(shí)的可利用性應(yīng)大于90%。

1.10核心能力指標(biāo)

（1）攻擊檢測(cè)能力：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)能夠有效檢測(cè)各種攻擊類型，如漏洞利用、木馬攻擊、惡意軟件等，并能夠?qū)崿F(xiàn)對(duì)零日漏洞的發(fā)現(xiàn)和防御。

（2）精準(zhǔn)度：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)具備較高的精準(zhǔn)度，即能夠準(zhǔn)確識(shí)別并區(qū)分合法的應(yīng)用程序行為和攻擊行為，避免誤報(bào)和漏報(bào)。

（3）及時(shí)性：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)針對(duì)入侵事件實(shí)現(xiàn)及時(shí)響應(yīng)和預(yù)警，快速提供有效的告警和處置措施，減少安全事故損失。

（4）可擴(kuò)展性：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)具備良好的可擴(kuò)展性，能夠靈活支持多種操作系統(tǒng)和應(yīng)用環(huán)境，支持基于規(guī)則、基于特征、基于行為等多種檢測(cè)方式，同時(shí)可以結(jié)合其他安全設(shè)備協(xié)同工作。

（5）數(shù)據(jù)處理能力：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)能夠高效處理和分析大量復(fù)雜的數(shù)據(jù)流，包括系統(tǒng)日志、進(jìn)程信息、網(wǎng)絡(luò)流量、異常行為等。

（6）安全機(jī)制：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)采用加密傳輸、權(quán)限控制、訪問授權(quán)等安全機(jī)制，確保數(shù)據(jù)傳輸和存儲(chǔ)的安全性和完整性。

（7）可視化：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)具備良好的可視化功能，通過圖表、報(bào)表、實(shí)時(shí)監(jiān)控等方式，直觀展示系統(tǒng)安全狀態(tài)和異常情況，提供詳細(xì)的分析報(bào)告和警報(bào)信息。

（8）漏報(bào)率和誤報(bào)率：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)具備較低的漏報(bào)率和誤報(bào)率，即盡可能減少未檢測(cè)到的攻擊事件，并減少不必要的警報(bào)和誤判。

（9）響應(yīng)能力：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)能夠及時(shí)響應(yīng)和處理安全事件，并提供有效的處理措施，以減小安全風(fēng)險(xiǎn)和損失。

（10）可用性：主機(jī)入侵檢測(cè)系統(tǒng)應(yīng)具備高可用性，能夠保障系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行，包括快速故障定位、恢復(fù)和維護(hù)的能力，確保系統(tǒng)安全輸出。