主机入侵检测软件安装在哪里

主机入侵检测软件一般安装在主机也就是用户计算机上，主机入侵检测系统的检测目标主要是主机系统和本地用户。检测原理是在每个需要保护的端系统(主机)上运行代理程序(agent)，以主机的审计数据、系统日志、应用程序日志等为数据源，主要对主机的网络实时连接以及主机文件进行分析和判断，发现可疑事件并作出响应，所以要将其安装在用户主机上。

基本思想是将入侵检测模块安装于网络中的主动节点上，这些主动节点可以是需要重点保护的主机，也可以是关键路由节点。安装于主机上的入侵检测模块主要通过对主机的审计日志进行分析来发现针对主机的可疑行为，而运行于路由节点上的入侵检测模块通过对经过该节点转发的数据包文进行特征分析，通过模式识别来发现其中的入侵行为。

为了防止误报和漏报，这些运行于不同节点上的入侵检测系统需要协同工作来完成入侵攻击的全局信息提取。首先，入侵检测模块分布于网络的不同位置，同时收集并分析相同或不同类型的原始数据，当某个可疑事件发生后有选择地通知管理节点，而管理节点负责接收、关联及处理多个检测节点的不同类型的可疑事件，综合分析后找出入侵行为并进行报警或完成相应的控制工作；其次，当某个节点发现可疑行为后，可要求其它相关节点安装运行特定的程序来启动对特定信息的收集工作，并将收集到的信息返回该节点，通过综合各节点送来的信息判断是否为入侵行为。

基于主机的入侵检测系统主要用于保护运用关键应用的服务器。其优点是对分析“可能的攻击行为”非常有用，不仅能够指出入侵者试图执行哪种“危险的命令”，还能分辨出入侵者运行了什么命令，进行了什么操作、执行了哪些系统调用等。主机入侵检测系统与网络入侵检测系统相比，能够提供更为详尽的用户操作调用信息，且配置灵活。因此，基于主机的入侵检测系统能确定攻击是否成功，可用于加密的以及交换的环境，对网络流量也不敏感并且不需要额外的硬件。