【HIDS】关于HIDS的一些看法

1、什么是HIDS

HIDS （Host-based Intrusion Detection System）基于主机的入侵检测系统，区别于NIDS（基于网络的入侵检测系统），HIDS专注于系统内部，监测系统的动态行为以及整个系统的状态。

HIDS将探头（代理）安装在受保卫系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件执行日志；还可以监测特定的系统文件和可执行文件调用，以及Windows 下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。

HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发觉，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能，能够很好地与系统，甚至系统上的运用紧密结合。

IDS基本流程：收集信息 -> 分析信息 -> 给出结论 -> 做出反应

2、缺陷

由于HIDS 需要直接安装在主机上，所以需要重点关注以下两点：

• 对主机性能的影响：HIDS agent 需要占用尽量少的资源来完成尽量完整的监控；如果主机性能由于agent导致明显下降，这是得不偿失的
• 对主机稳定性影响：应用于服务器必然会涉及到兼容性问题，需要针对各种不通内核的机器都做好兼容性处理。如果是针对个人PC还好，重启一下损失不会很大，但是如果agent位于关键服务器上，服务器宕机一次，损失可能不可估量。

3、前景

由于HIDS不像NIDS有许多可以数据化的技能指标，而且又要在被监控的主机上安装探头（代理），使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ，都非常谨慎。而对于国防、军工、机要保密等领域，对系统的安全、特别是信息安全要求比较高，而对系统的稳定性不是太敏感，而且更关注来自内部的攻击（一般这些领域的信息系统是不与公网相连的），所以对HIDS的运用比较容易接受，反而NIDS不是很看重。

在2021年这个时间，很多大型互联网企业，内网中已经开始部署自研 HIDS 了，如腾讯，美团等。腾讯的自研HIDS，主要功能包括黑客入侵行为发现、服务器安全漏洞检测与加固、服务器基础信息收集等。


美团技术论坛也有相关的帖子：保障IDC安全：分布式HIDS集群架构设计


随着这几年云计算产业的发展，Linux 上的轻量级类 HIDS 技术还是会有一定市场的，主要是云厂商自研自用，搞独立商业产品前景不明朗。