基于主机的入侵检测系统(HIDS)

Q: 基于主机的入侵检测系统(HIDS) 是什么?

部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。 它属于网络安全的 网络安全 分类。

Q: 如何防御 基于主机的入侵检测系统(HIDS)?

针对 基于主机的入侵检测系统(HIDS) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

基于主机的入侵检测系统(HIDS) 是什么?

基于主机的入侵检测系统(HIDS)部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。

基于主机的入侵检测系统(HIDS)以代理形式运行在操作系统内部,监控文件完整性、注册表变化、进程创建、系统调用、认证事件和日志等本地构件,用以发现可能从未出现在网络上的入侵。经典产品包括 OSSEC、Wazuh、Tripwire 和 AIDE;现代 EDR、XDR 在 HIDS 基础上扩展了丰富的遥测、行为分析和响应能力。HIDS 能看到 NIDS 看不到的内容:主机本地操作、加密的本地活动以及攻陷后的行为。其局限包括代理管理负担、繁忙服务器上的性能开销,以及主机被完全攻陷时被篡改的风险——因此将日志安全外发存储非常关键。

● 示例

01
Wazuh 代理对 /etc/cron.d 中创建的可疑 cron 任务发出告警。
02
OSSEC 发现 /usr/bin 下关键二进制文件的校验和已被修改。

● 常见问题

基于主机的入侵检测系统(HIDS) 是什么?

部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。它属于网络安全的网络安全分类。

基于主机的入侵检测系统(HIDS) 是什么意思?

部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。

如何防御基于主机的入侵检测系统(HIDS)?

针对基于主机的入侵检测系统(HIDS) 的防御通常结合技术控制与运营实践,详见上方完整定义。

基于主机的入侵检测系统(HIDS) 还有哪些其他名称?

常见的别称包括: HIDS, 主机 IDS。

基于主机的入侵检测系统(HIDS) 是什么?

● 示例

● 常见问题

● 相关术语