HIDS 了解

1、
HIDS （Host-based Intrusion Detection System）基于主机的入侵检测系统，区别于NIDS（基于网络的入侵检测系统），HIDS专注于系统内部，监测系统的动态行为以及整个系统的状态。

HIDS将探头（代理）安装在受保卫系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件执行日志；还可以监测特定的系统文件和可执行文件调用，以及Windows 下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以执行适时轮询的监控。

　HIDS的作用原理
　　作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。

　　通俗理解我们可以这样认为：一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样，计算机管理员就可以察觉到一些系统的修改，HIDS亦能检测并报告出检测结果。

HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发觉，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技能，能够很好地与系统，甚至系统上的运用紧密结合。

　hids的能力
　　HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发觉，并采取杀死进程、封掉账号，甚至断开网络连接。

HIDS 使用网络数据作为信息源有以下好处：
可以用独立的主机进行检测，网络数据的收集和分析不会影响业务主机的运作性能。
以被动监听的方式获取数据包，不降低网络性能。例如，包过滤防火墙在处理数据包时要先按照安全规则实施过滤，再进行转发，这样必然延长数据包的传输时间，而入侵检测系统的被动监听不存在此问题。
这种入侵检测系统本身不容易遭受攻击，因为其对于网络用户而言完全透明，攻击者难以判断网络中是否存在入侵检测系统，入侵检测系统位于何处。
以网络数据作为信息源的入侵检测系统，相对于以主机数据作为信息源的入侵检测系统而言，可以更快速、有效地检测很多类型的网络攻击活动，如 ARP 欺骗、拒绝服务攻击等。
网络数据包遵循统一的通信协议，标准化程度高，可以便捷地将此类入侵检测系统移植到不同的系统平台上。

2、缺陷
由于HIDS 需要直接安装在主机上，所以需要重点关注以下两点：

对主机性能的影响：HIDS agent 需要占用尽量少的资源来完成尽量完整的监控；如果主机性能由于agent导致明显下降，这是得不偿失的
对主机稳定性影响：应用于服务器必然会涉及到兼容性问题，需要针对各种不通内核的机器都做好兼容性处理。如果是针对个人PC还好，重启一下损失不会很大，但是如果agent位于关键服务器上，服务器宕机一次，损失可能不可估量。

3、前景
由于HIDS不像NIDS有许多可以数据化的技能指标，而且又要在被监控的主机上安装探头（代理），使得运用对它都有一定的担忧。所以对于系统稳定性比较高的一些行业像银行、电信等对其运用 ，都非常谨慎。而对于国防、军工、机要保密等领域，对系统的安全、特别是信息安全要求比较高，而对系统的稳定性不是太敏感，而且更关注来自内部的攻击（一般这些领域的信息系统是不与公网相连的），所以对HIDS的运用比较容易接受，反而NIDS不是很看重。
在2021年这个时间，很多大型互联网企业，内网中已经开始部署自研 HIDS 了，如腾讯，美团等。腾讯的自研HIDS，主要功能包括黑客入侵行为发现、服务器安全漏洞检测与加固、服务器基础信息收集等。
美团技术论坛也有相关的帖子：保障IDC安全：分布式HIDS集群架构设计
随着这几年云计算产业的发展，Linux 上的轻量级类 HIDS 技术还是会有一定市场的，主要是云厂商自研自用，搞独立商业产品前景不明朗。

参考：
https://www.cnblogs.com/gaoshaonian/p/15466021.html
https://www.wangan.com/wenda/4276
https://www.safedog.cn/news.html?id=5015