基于主机入侵检测系统——HIDS

admin

在建立由防火墙、IDS等安全产品组成的安全体系中，安全业界有两种截然不同的观点：一种是以防火墙为核心，另一种是以IDS为核心。以往，我们听了很多防火墙为核心的观点，现在我们来倾听一下以IDS为核心的主张。

　　减少威胁和规避风险是用户设计网络安全系统的两个基本出发点。在美国最近发布的国家信息安全保障计划中，有关专家将主动威胁和内部威胁列为对用户危害最大的两类威胁，这两类威胁所带来的损失占据总体安全损失的90%以上。而目前用户对这两类威胁的认识程度还不够深入，对于它们的防御工作只占到日常防护工作的10%左右。

　　网络安全防护的重点并不是硬件，而是存储与运行在网络上的各种关键信息。按照这一理论，越是靠近被防护点的威胁其风险也就越大。由此看来，用户所面临的最大风险应该自于网络内部，网络安全的重点应该是网络内部保护。网络安全是一个具有木桶效应的系统，其性能体现在最薄弱的地方。因此，一个完整的网络安全防护体系必须覆盖网络的整个时空。网络系统安全的防护空间可划分为内部安全、边界安全和信息基础设施安全，如图所示。同时，网络安全又是一个与时间相关的过程，包含着防护、监测和响应三个环节，这三个环节随着攻击手段的变化而变化，协同实现网络安全保障。

　　在网络结构和攻击手段相对简单的网络建设早期阶段，网络安全体系是以防护为主体，依靠防火墙、加密和身份认证等手段来实现。随着攻击手段的不断演变，监测和响应环节在现代网络安全体系中的地位越来越重要，正在逐步成为构建网络安全体系的核心。

　　网络安全体系的监测和响应环节是通过入侵检测(IDS)来实现的。IDS从网络系统中的关键点收集信息，并加以分析，检测网络中是否有违反安全策略的行为和识别遭受袭击的迹象。作为网络安全核心技术，入侵检测技术可以缓解访问隐患，将网络安全的各个环节有机结合起来，实现对用户网络安全的有效保障。

　　入侵检测(IDS)分为基于主机(HIDS)和基于网络(NIDS)两种。HIDS安装在被监测的主机系统上，监测用户的访问行为;NIDS安装在被监测的网段上，监听网段内的所有数据包，判断其是否合法。

　　根据前面提到的网络威胁原理，离被防护信息点越近，保护的作用就会越有效。由于部署在被保护主机上，HIDS从空间满足了网络安全的先决条件; 同时，由于监听的是用户的整个访问行为，HIDS可以有效利用操作系统本身提供的功能，结合异常分析，准确报告攻击行为，在时间上保证了网络安全进程实现的过程。HIDS在网络安全防护时空上的优势必将使它成为未来网络安全体系的核心。