@贝壳儿
1年前 提问
1个回答
什么是 HIDS
007bug
1年前
HIDS是即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。主机层可检测的入侵威胁有很多,如系统提权、异常登录、反弹shell、网络嗅探、内存注入、异常进程行为、异常文件读写、异常网络通信、病毒后门、安全漏洞、配置缺陷等。
HIDS使用网络数据作为信息源有以下好处:
可以用独立的主机进行检测,网络数据的收集和分析不会影响业务主机的运作性能。
以被动监听的方式获取数据包,不降低网络性能。例如,包过滤防火墙在处理数据包时要先按照安全规则实施过滤,再进行转发,这样必然延长数据包的传输时间,而入侵检测系统的被动监听不存在此问题。
这种入侵检测系统本身不容易遭受攻击,因为其对于网络用户而言完全透明,攻击者难以判断网络中是否存在入侵检测系统,入侵检测系统位于何处。
以网络数据作为信息源的入侵检测系统,相对于以主机数据作为信息源的入侵检测系统而言,可以更快速、有效地检测很多类型的网络攻击活动,如ARP欺骗、拒绝服务攻击等。
网络数据包遵循统一的通信协议,标准化程度高,可以便捷地将此类入侵检测系统移植到不同的系统平台上。