| 基于主机的入侵检测系统,简称为HIDS。HIDS通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,分析这些信息是否包含攻击特征或异常情况,并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化,因此在实际的HIDS产品中,CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。HIDS一般适合检测以下入侵行为:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| SWATCH(The Simple WATCHer and filer)是Todd Atkins开发的用于实时监视日志的PERL程序。SWATCH利用指定的触发器监视日志记录,当日志记录符合触发器条件时,SWATCH会按预先定义好的方式通知系统管理员。SWATCH有一个很有用的安装脚本,可以将所有的库文件、手册页和PERL文件复制到相应目录下。安装完成后,只要创建一个配置文件,就可以运行程序了。
|
|
|
|
|
| Tripwire是一个文件和目录完整性检测工具软件包,用于协助管理员和用户监测特定文件的变化。Tripwire根据系统文件的规则设置,将已破坏或被篡改的文件通知系统管理员,因而常作为损害控制测量工具。
|
|
|
|
|
| 网页防篡改系统的基本作用是防止网页文件被入侵者非法修改,即在页面文件被篡改后,能够及时发现、产生报警、通知管理员、自动恢复。其工作原理是将所要监测的网页文件生成完整性标记,一旦发现网页文件的完整性受到破坏,则启动网页备份系统,恢复正常的网页。
|
|
|
|
|
| . 可以检测基于网络的入侵检测系统不能检测的攻击;
|
|
|
| . 基于主机的入侵检测系统可以运行在应用加密系统的网络上,只要加密信息在到达被监控的主机时或到达前解密;
|
|
|
|
|
|
|
| . 必须在每个被监控的主机上都安装和维护信息收集模块;
|
|
|
| . 由于HIDS的一部分安装在被攻击的主机上,HIDS可能受到攻击并被攻击者破坏;
|
|
|
| . HIDS占用受保护的主机系统的系统资源,降低了主机系统的性能;
|
|
|
|
|
|
|
|
|
