网络安全
基于主机的入侵检测系统(HIDS)
别称: HIDS, 主机 IDS
定义
部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。
基于主机的入侵检测系统(HIDS)以代理形式运行在操作系统内部,监控文件完整性、注册表变化、进程创建、系统调用、认证事件和日志等本地构件,用以发现可能从未出现在网络上的入侵。经典产品包括 OSSEC、Wazuh、Tripwire 和 AIDE;现代 EDR、XDR 在 HIDS 基础上扩展了丰富的遥测、行为分析和响应能力。HIDS 能看到 NIDS 看不到的内容:主机本地操作、加密的本地活动以及攻陷后的行为。其局限包括代理管理负担、繁忙服务器上的性能开销,以及主机被完全攻陷时被篡改的风险——因此将日志安全外发存储非常关键。
示例
- Wazuh 代理对 /etc/cron.d 中创建的可疑 cron 任务发出告警。
- OSSEC 发现 /usr/bin 下关键二进制文件的校验和已被修改。
相关术语
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
基于异常的检测
通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
Log Analysis
Log Analysis — definition coming soon.