HIDS如何保護主機系統(tǒng)

第第頁HIDS如何保護主機系統(tǒng)HIDS如何保護主機系統(tǒng)

發(fā)表于：2023-06-23來源：：點擊數：標簽：

從技術上看，入侵檢測系統(tǒng)基本上可分為兩類:基于網絡(NIDS)和基于主機(HIDS)。本文主要介紹基于主機的入侵檢測系統(tǒng)，包括它的主要用途、基本工作原理和方式、優(yōu)缺點、現狀和發(fā)展趨勢等。HIDS的原理及體系結構主機入侵檢測系統(tǒng)通常在被重點檢測的主機上

從技術上看，入侵檢測系統(tǒng)基本上可分為兩類:基于網絡(NIDS)和基于主機(HIDS)。本文主要介紹基于主機的入侵檢測系統(tǒng)，包括它的主要用途、基本工作原理和方式、優(yōu)缺點、現狀和發(fā)展趨勢等。

HIDS的原理及體系結構

主機入侵檢測系統(tǒng)通常在被重點檢測的主機上運行一個代理程序。該代理程序扮演著檢測引擎的角色，它根據主機行為特征庫對受檢測主機上的可疑行為進行采集、分析和判斷，并把警報信息發(fā)送給控制端程序，由管理員集中管理。此外，代理程序需要定期給控制端發(fā)出信號，以使管理員能確信代理程序工作正常。如果是個人主機入侵檢測，代理程序和控制端管理程序可以合并在一起，管理程序也簡單得多。

不同的應用范圍，對主機入侵檢測的要求也有不同。我們將其分為：個人、企業(yè)、政府、電信等多個級別。

1．個人級：由于個人電腦的配置較低，專供個人使用的入侵檢測產品在功能和性能上做了極大的簡化。同時在易用性方面針對個人用戶又有了加強，如圖形界面的使用，配置向導等功能。

2．企業(yè)級：企業(yè)級的入侵檢測產品要求在性能、功能、易用性、成本等幾方面找到一個平衡點。

3．政府級：政府網絡雖然流量并不比企業(yè)網絡流量大，但是政府網絡的安全性顯然比其他特性更加受到重視。因此攻擊識別能力和實時響應能力更為重要。

4．電信級：在電信企業(yè)的網絡中，進出的數據流量是普通企業(yè)網絡的幾倍甚至幾百倍。實時檢測如此大的數據流量，對產品的攻擊識別能力、丟包率等性能指標提出了極高的要求。

主機入侵檢測系統(tǒng)主要依靠主機行為特征進行檢測。檢測系統(tǒng)可通過監(jiān)測系統(tǒng)日志和SNMP陷阱來尋找某些模式，這些模式可能意味著一大堆安全上很重要的事件。檢測系統(tǒng)的特征庫包括很多類操作系統(tǒng)上的事件。這些事件檢查可疑的文件傳輸，受拒的登錄企圖，物理信息(如一塊以太網卡被設為混雜模式)，以及系統(tǒng)重啟。特征庫也可包括來自許多應用程序和服務的安全訊息，如SecureShell、Sendmail、Qmail、Bind和ApacheWeb服務器。

基于主機的入侵檢測系統(tǒng)的一個優(yōu)勢就是它可以根據結果來進行判斷。判據之一就是關鍵系統(tǒng)文件有沒有在未經允許的情況下被修改，包括訪問時間、文件大小和MD5密碼校驗值。

主機入侵檢測系統(tǒng)需要和現有的系統(tǒng)緊密集成，當然支持的平臺越多越好。目前的主流商業(yè)入侵檢測系統(tǒng)通常支持或將支持大部分主流的企業(yè)級Windows和Unix系統(tǒng)。

在WindowNT/2000中，系統(tǒng)有自帶的安全工具，類似于早期Windows版本的策略編輯器。利用這個工具可以使安全策略的規(guī)劃和實施變得更為容易。安全策略問題包括賬號策略、本地策略、共鑰策略和IP安全策略。系統(tǒng)中違反安全策略的行為都作為事件發(fā)送給系統(tǒng)安全日志。主機入侵檢測可以根據安全日志分析判斷入侵行為。

在主機入侵檢測系統(tǒng)中，不管在什么操作系統(tǒng)，普遍用到各種勾子技術對系統(tǒng)的各種事件，活動進行截獲分析。在WinNT/2000中，由于系統(tǒng)中的各種API子系統(tǒng)，如Win32子系統(tǒng)、Posix子系統(tǒng)及其他系統(tǒng)最終都要調用相應的系統(tǒng)服務例程(SystemServicesRoutines)，所以可以對系統(tǒng)服務例程勾子化。入侵檢測系統(tǒng)通過捕獲操作文件系統(tǒng)和注冊表的函數來檢測對文件系統(tǒng)和注冊表的非法操作。在有些系統(tǒng)中，可以通過拷貝勾子處理函數不僅可以對敏感文件或目錄檢測非法操作，還可以阻止對文件或目錄的操作。

撥號檢測在主機入侵檢測系統(tǒng)中也有其特殊的用途。在很多重要部門中都裝有內部網，出于對信息的高度安全要求，公司（或部門）不希望有員工私自安裝Modem撥號入網。安裝于內部網中的帶有撥號檢測的主機入侵檢測系統(tǒng)可以檢測到員工的這種違規(guī)行為，及時阻止。在內部網中，阻止員工侵入其他員工的系統(tǒng)竊取機密信息也是需要的，這通常需要主機入侵檢測系統(tǒng)對不同主機中的敏感文件或目錄進行檢測。

HIDS的優(yōu)缺點

相對于網絡入侵檢測，主機入侵檢測有以下優(yōu)點：

◆性價比高在主機數量較少的情況下,這種方法的性價比可能更高。

◆更加細致這種方法可以很容易地監(jiān)測一些活動,如對敏感文件、目錄、程序或端口的存取,而這些活動很難在基于協議的線索中被發(fā)現。

◆視野集中一旦入侵者得到了一個主機的用戶名和口令,基于主機的代理是最有可能區(qū)分正常的活動和非法活動的。

◆易于用戶剪裁每一個主機有其自己的代理,用戶剪裁更方便。

◆較少的主機基于主機的方法不需要增加專門的硬件平臺。

◆對網絡流量不敏感用代理的方式一般不會因為網絡流量的增加而丟失對網絡行為的監(jiān)視。

當然，主機入侵檢測系統(tǒng)也有它的局限性：

◆操作系統(tǒng)局限不象NIDS，廠家可以自己定制一個足夠安全的操作系統(tǒng)來保證NIDS自身的安全，HIDS的安全性受其所在主機操作系統(tǒng)的安全性限制。

◆系統(tǒng)日志限制HIDS會通過監(jiān)測系統(tǒng)日志來發(fā)現可疑的行為，但有些程序的系統(tǒng)日志并不詳細，或者沒有日志。有些入侵行為本身不會被具有系統(tǒng)日志的程序紀錄下來。

◆被修改過的系統(tǒng)核心能夠騙過文件檢查如果入侵者修改系統(tǒng)核心，則可以騙過基于文件一致性檢查的工具。

HIDS的發(fā)展現狀

目前，基于網絡的入侵檢測系統(tǒng)的數量仍然多于基于主機的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)通常帶有基于網絡的入侵檢測系統(tǒng)組件，但反過來就少了。原因很簡單：基于網絡的入侵檢測系統(tǒng)不需要對現有的系統(tǒng)和應用程序做更改，因而沒有兼容性問題，而且一套系統(tǒng)能監(jiān)測整個網段，部署容易