主机入侵检测系统学习及研究

1.1定义

   主机入侵检测系统(host—based IDS
，主机HIDS)的入侵检测目标主要是主机系统和本地用户。检测原理是检测及研究在每个需要保护的端系统(主机)上运行代理程序(agent) ，以主机的系统学习审计数据、系统日志、主机应用程序日志等为数据源，入侵主要对主机的检测及研究网络实时连接以及主机文件进行分析和判断，发现可疑事件并作出响应。系统学习

1.2工作原理

其工作原理主要包括如下几个方面
：

（1）事件采集 ：主机入侵检测系统通过数据采集器实时监测操作系统及服务器软件的主机安全事件和信息 ，例如进程信息、免费模板入侵端口信息、检测及研究用户登录行为
 、系统学习文件变化 、主机内存使用等等。入侵

（2）事件分析 ：主机入侵检测系统采集到的检测及研究事件信息会通过安全分析引擎进行整合和分析  ，比如对事件的来源 、目标 、行为、风险程度等进行分析，以此识别出潜在的安全威胁
。

（3）漏洞扫描
：主机入侵检测系统还可以针对操作系统和应用程序的漏洞进行扫描
，并及时发现并报告可利用漏洞的高防服务器攻击行为 。

（4）告警产生：当主机入侵检测系统识别到潜在的安全威胁时 ，会通过告警方式进行报警，例如生成日志文件、发送邮件、短信通知等等，以及提供相应的解决方案，帮助管理员及时采取响应措施。

1.3主机入侵检测系统的主要功能

主要功能包括 ：

实时监测和检测服务器 、应用程序及数据库的行为 ，发现可能存在的安全威胁。源码库

分析事件并进行警报 
，指导管理员及时采取相应的措施来应对安全威胁 。

分析漏洞情况并针对漏洞提供建议。

支持日志记录和分析，提供安全审计和合规性检查功能。

提供安全预警和远程管理等功能 ，方便管理员集中管理和维护主机入侵检测系统
。

1.4国家相关标准

《信息安全技术 企业级主机入侵检测系统 技术规范》 （GB/T 28448-2012）：该标准规定了企业级主机入侵检测系统的技术要求、测试方法和评价要求 ，是中国国家标准委员会于2012年发布的第一部主机入侵检测系统标准
。

《信息安全技术 云计算环境下基础设施主机入侵检测通用规范》（GB/T 34169-2017）：该标准提出了在云计算环境下基础设施主机入侵检测的要求，香港云服务器并给出了相应的技术规范和测试方法。

《信息安全技术 电子政务主机入侵检测通用规范》（GB/T 34335-2017） ：该标准指导电子政务系统使用主机入侵检测系统实现网络安全监控和攻击防护等功能，提高系统安全性和可靠性。

此外，还有一些行业标准和标准化组织的推荐标准，如中华人民共和国公安部颁布的《警用主机防护系统技术要求与测试方法》（GA/T 758-2017）和国际标准化组织发布的《信息技术 安全技术 威胁情报共享》（ISO/IEC 30111:2013）等等。

1.5主机入侵检测分类及定级

1.主机入侵检测分类

主机入侵检测可以根据其实现方式和检测目的进行分类 ，一般分为以下几种 ：

基于规则的检测 ：基于规则的检测系统利用特定的规则集来判断主机上是建站模板否存在安全威胁
。这些规则集可以基于攻击行为 、恶意代码、异常流量等方面进行定义。当检测到与规则集匹配的情况时
 ，该系统将产生警报或采取其他响应措施 。

基于模型的检测 ：基于模型的检测系统使用事先构建好的主机行为模型来检测主机的正常和异常行为 。该系统通过对主机行为的学习和建模，可以有效地检测新的威胁和未知漏洞等问题 。云计算

基于特征的检测：基于特征的检测系统通过分析主机上的日志或其他信息来识别潜在的安全问题
。该检测方法可以检测网络流量 、文件操作、进程监控等不同类型的事件 。

2.主机入侵检测级别

根据其检测结果的安全级别 ，主机入侵检测可以分为以下几个级别
 ：

一级警报  ：通常表示较低的风险，比如一些普通攻击或者非恶意的行为等。

二级警报
：表示较高风险，比如某些特定攻击或恶意软件的行为等 。

三级警报：表示非常高的风险 ，例如某些高级网络攻击或者系统崩溃等等。

根据不同的安全级别 ，管理员可以采取相应的响应措施 ，来及时应对主机入侵和其他安全事件。

3.主机入侵检测系统检测对象

（1）进程和线程：该类型检测通常监控主机上的进程和线程活动，比如检测是否存在异常进程、异常线程或者进程权限的变化
。

（2）事件日志：该类型检测通常涉及对主机事件日志进行监控 ，包括登录成功失败
、文件访问、网络连接等事件，通过分析这些事件可以判断是否存在非法操作或异常行为。

（3）文件和系统配置
：该类型检测主要监控主机上的文件系统和系统配置变化，比如检测文件的插入和删除 、系统配置的变化以及重要文件是否被篡改。

（4）网络流量 ：该类型检测主要通过监控主机上的网络流量，判断是否存在异常的数据包流量或者进行恶意攻击的流量。

（5）性能和资源消耗：该类型检测主要是通过监控主机上的性能和资源消耗情况，判断是否出现异常的资源消耗或性能下降现象 ，比如CPU利用率 、内存使用情况等。

1.6主机入侵检测系统优缺点

1.优点

实时监控
 ：主机入侵检测系统可以在实时监控主机的行为 ，及时发现和响应安全威胁，减少损失。

精度高 ：主机入侵检测系统可以通过多种技术来检测各种类型的威胁 ，包括恶意软件 、网络攻击等，具有较高的检测准确性。

自主学习：一些先进的主机入侵检测系统能够自主学习主机正常操作行为 ，并建立相应的安全模型，从而提高了检测效率和准确性 。

灵活性：主机入侵检测系统可以根据不同的企业需求进行定制，提供灵活的部署方式，包括分布式架构和云端部署等 。

2.缺点

漏报和误报
：主机入侵检测系统可能会因为规则集或模型构建不完善而出现漏报或误报，降低了安全检测的可信度。

资源消耗：主机入侵检测系统需要大量的系统资源来运行和存储数据，可能会影响系统性能和容量。

依赖性 ：主机入侵检测系统需要不断升级和更新才能保持检测效果 ，同时也需要根据不同的应用场景来定制规则集和模型，增加了企业的管理成本。

综上所述
，主机入侵检测系统虽然具有一些优点和特点 ，但其仍需不断完善和优化才能更好地适应企业的安全需求
。

1.7主机入侵检测系统的性能指标和技术指标

主机入侵检测系统的性能指标和技术指标通常包括以下几个方面
：

（1）检测率 ：指主机入侵检测系统在检测到真实安全事件的能力，即出现安全威胁时系统可以及时发现并报警
。该指标反映了系统的检测能力。

（2）误报率
：指主机入侵检测系统在未出现真实安全事件时发出警报的比例。该指标反映了系统的准确性。

（3）响应时间 ：指主机入侵检测系统从发现安全事件到采取相应措施所花费的时间。该指标反映了系统的响应速度和处置能力。

（4）可扩展性 ：指主机入侵检测系统能否根据业务需求进行灵活配置和扩展的能力，如增加新的检测规则、数据源或采用新的技术手段等。

（5）易用性：指主机入侵检测系统是否易于配置 、管理和维护
。该指标反映了系统的用户友好程度  。

（6）抗干扰性：指主机入侵检测系统在遭受恶意攻击或其他干扰时的抵御能力
，如防止被攻击者篡改或关闭。

（7）数据处理能力：指主机入侵检测系统能否高效地处理大量和复杂的数据流，如网络流量、事件日志等
。

在技术指标方面
，主机入侵检测系统需要具备多种技术手段，例如基于规则的检测
、基于特征的检测、异常检测、机器学习、深度学习
、数据挖掘等。此外，系统需要支持多种数据源的采集和集成，如日志 、网络流量、配置文件等 。同时，系统还需要有良好的安全机制，如加密通信
 、权限控制、授权访问等 ，以保障数据安全和隐私保护
。

一些参考的指标值

检测率
 ：入侵检测系统应具备较高的攻击检测准确率 ，以尽可能地识别并报告已知和未知的入侵行为。

误报率：虚警率应保持低水平，以确保安全管理员不会被过于频繁的误报所困扰。

响应时间：入侵检测系统的响应时间应该越快越好，可以提高保护网络免受攻击的能力。一般来说，响应时间应该在几秒钟内完成 。

系统资源占用率
：入侵检测系统应占用较少的系统资源，以确保不会对其他应用程序或服务产生负面影响 。

数据处理速度 ：入侵检测系统的数据处理速度应该足够快 ，以确保能够及时分析和报告所有的安全事件

1.8招标参考技术参数

检测能力 ：系统应具备较高的攻击检测准确率，以尽可能地识别并报告已知和未知的入侵行为
。

准确性 ：系统的虚警率应保持低水平，以确保安全管理员不会被过于频繁的误报所困扰 。

响应速度 ：系统在发现安全事件后的响应时间应该越快越好  ，可以提高保护网络免受攻击的能力。一般来说，响应时间应该在几秒钟内完成。

可扩展性：系统应该具备良好的可扩展性，能够根据业务需求进行灵活配置和扩展 ，如增加新的检测规则、数据源或采用新的技术手段等。

易用性 ：系统应该易于配置、管理和维护，反映了系统的用户友好程度。

抗干扰性：系统应该具备较强的抵御恶意攻击或其他干扰的能力，如防止被攻击者篡改或关闭
。

数据处理能力：系统应该具备高效地处理大量和复杂的数据流的能力，如网络流量 、事件日志等。

技术手段和数据源支持：系统应该具备多种技术手段，例如基于规则的检测、基于特征的检测、异常检测
 、机器学习、深度学习、数据挖掘等；同时还需要支持多种数据源的采集和集成，如日志、网络流量、配置文件等 。

安全机制：系统应该具备良好的安全机制，如加密通信 、权限控制
、授权访问等，以保障数据安全和隐私保护
。

系统资源占用率：系统应当占用较少的系统资源，以确保不会对其他应用程序或服务产生负面影响 。

支持的操作系统: Windows, Linux, MacOS等主流操作系统。

版本更新和维护支持
 ：系统应该提供版本更新和维护支持服务，保障系统的长期稳定运行。

1.9国家标准技术要求

（1）合规性

系统应符合国家相关信息安全技术标准要求。

（2）网络拓扑支持

系统应支持多种网络拓扑结构 ，包括集中式、分布式和混合结构等。

（3）攻击检测能力

系统应能够检测各种攻击类型 ，例如端口扫描、漏洞利用
、恶意代码、DDoS攻击等。

（4）报警准确率

系统在检测到真实安全事件时，报警的准确率应高，不能产生虚警。准确率应达到90%以上，虚警率不得超过5%。

（5）响应时间

系统在发现安全事件后的响应时间应该越快越好，可以提高保护网络免受攻击的能力。系统响应时间应小于1秒。

（6）数据处理能力

系统应具备高效地处理大量和复杂的数据流的能力 ，如网络流量、事件日志等 。系统检测准确率应达到90%以上。

（7）技术手段和数据源支持

系统应具备多种技术手段，例如基于规则的检测 
、基于特征的检测 、异常检测、机器学习 、深度学习 、数据挖掘等；同时还需要支持多种数据源的采集和集成，如日志、网络流量、配置文件等。

（8）可扩展性

系统应该具备良好的可扩展性, 具有灵活配置、管理和维护的能力 ，如增加新的检测规则 、数据源或采用新的技术手段等。系统无法脱离干扰环境工作时的可利用性应大于90% 。

（9）易用性

系统应该易于配置  、管理和维护 ，反映了系统的用户友好程度
。系统应支持主流操作系统，如Windows、Linux、MacOS等
。

（10）故障恢复能力

系统应具有快速故障定位 、恢复和维护的能力，以保证系统长期稳定运行
。

（11）安全机制

系统应该具备良好的安全机制
，如加密通信、权限控制 、授权访问等，以保障数据安全和隐私保护。

（12）性能指标

系统检测准确率应达到90%以上
，虚警率不得超过5%；系统响应时间应小于1秒；系统无法脱离干扰环境工作时的可利用性应大于90% 。

1.10核心能力指标

（1）攻击检测能力 ：主机入侵检测系统应能够有效检测各种攻击类型，如漏洞利用 、木马攻击、恶意软件等，并能够实现对零日漏洞的发现和防御 。

（2）精准度：主机入侵检测系统应具备较高的精准度，即能够准确识别并区分合法的应用程序行为和攻击行为 ，避免误报和漏报。

（3）及时性 ：主机入侵检测系统应针对入侵事件实现及时响应和预警，快速提供有效的告警和处置措施 ，减少安全事故损失
。

（4）可扩展性：主机入侵检测系统应具备良好的可扩展性，能够灵活支持多种操作系统和应用环境 ，支持基于规则、基于特征、基于行为等多种检测方式
，同时可以结合其他安全设备协同工作。

（5）数据处理能力 ：主机入侵检测系统应能够高效处理和分析大量复杂的数据流  ，包括系统日志、进程信息、网络流量、异常行为等。

（6）安全机制：主机入侵检测系统应采用加密传输 、权限控制 、访问授权等安全机制 ，确保数据传输和存储的安全性和完整性。

（7）可视化：主机入侵检测系统应具备良好的可视化功能，通过图表、报表、实时监控等方式，直观展示系统安全状态和异常情况 ，提供详细的分析报告和警报信息 。

（8）漏报率和误报率：主机入侵检测系统应具备较低的漏报率和误报率 ，即尽可能减少未检测到的攻击事件 ，并减少不必要的警报和误判 。

（9）响应能力：主机入侵检测系统应能够及时响应和处理安全事件
，并提供有效的处理措施，以减小安全风险和损失。

（10）可用性：主机入侵检测系统应具备高可用性，能够保障系统长期稳定运行 
，包括快速故障定位 、恢复和维护的能力，确保系统安全输出。