主机入侵检测系统（HIDS）

1. 核心概念
   HIDS是一种部署在单个主机（如服务器、工作站）上的安全软件。与监控网络流量的系统不同，HIDS的核心职责是深入监控其所在主机内部的操作和状态。其基本原理是，在主机上安装一个代理程序，持续收集系统内部的活动数据，并与一个已知的、受信任的基准状态或规则库进行比对分析。一旦检测到异常或违反安全策略的行为，它会立即发出警报，并可能采取预定义的响应措施（如阻止进程、记录日志）。

2. 关键监控维度
   HIDS的监控极为细致，主要覆盖以下层面：

   • 文件系统完整性：监控关键系统文件、配置文件、应用程序二进制文件的完整性。通常通过为这些文件建立“指纹”（如哈希值）基线，任何未授权的更改（如被病毒篡改、植入后门）都会被检测到。
   • 系统日志分析：集中收集和分析操作系统日志、应用程序日志和安全日志。通过预定义规则或机器学习，从中识别失败的登录尝试、可疑的用户权限提升、异常服务启停等攻击迹象。
   • 进程活动监控：监控正在运行的进程及其行为，包括进程的父子关系、启动的命令行参数、对CPU和内存的异常占用等，以发现恶意进程或挖矿木马。
   • 网络连接监控：监控主机本身发起的网络连接和监听端口。即使外部防火墙无法察觉，HIDS也能发现主机内部进程尝试连接恶意命令与控制服务器或进行横向移动的行为。

3. 核心技术与方法
   HIDS主要依赖两种互补的检测技术：

   • 误用检测：也称为特征检测。它依赖于一个庞大的、不断更新的攻击特征库（如已知的恶意软件签名、攻击序列模式）。当主机活动与某个特征匹配时，即触发警报。这种方法对已知威胁准确率高，但无法应对零日攻击或变种攻击。
   • 异常检测：首先建立主机在正常状态下的行为基线模型（如某个用户通常的登录时间、访问的文件）。随后，系统持续将当前活动与基线进行比对，任何显著偏离正常模式的“异常”行为都会被视为潜在威胁。这种方法能发现未知攻击，但也可能产生较多误报。

4. 部署、挑战与演进

   • 部署架构：典型的HIDS由主机上的轻量级“代理”和一个中心“管理服务器”组成。代理负责数据采集和初步分析，服务器负责集中管理策略、关联分析多台主机告警，并呈现仪表盘。
   • 主要挑战：
     • 性能开销：代理运行会消耗主机的CPU、内存和存储资源。
     • 管理复杂性：在大型环境中，成千上万台主机的代理部署、策略更新和日志管理极具挑战。
     • 自身安全：代理自身可能成为攻击者禁用或绕过的目标。
   • 现代演进：现代HIDS正与端点检测与响应 深度融合。EDR不仅包含HIDS的检测能力，更强调对威胁的深入调查和响应能力，通过记录端点的详细活动轨迹，支持安全分析师回溯攻击链，并进行隔离、遏制等快速响应。