HIDS全稱是Host-based Intrusion Detection System,即基于主機型入侵檢測系統(tǒng)。作為計算機系統(tǒng)的監(jiān)視器和分析器,它并不作用于外部接口,而是專注于系統(tǒng)內(nèi)部,監(jiān)視系統(tǒng)全部或部分的動態(tài)的行為以及整個計算機系統(tǒng)的狀態(tài)。
基本介紹
由于HIDS動態(tài)地檢查網(wǎng)絡數(shù)據(jù)包這一特性,它可以檢測到哪一個程序訪問了什么資源以及確保文字處理器(Word-Processor)不會突然的、無緣無故的啟動并修改系統(tǒng)密碼數(shù)據(jù)庫。同樣的,不管是往內(nèi)存、文件系統(tǒng)、日志文件還是其它地方存儲信息,HIDS會一直監(jiān)控系統(tǒng)狀態(tài),并且核對他們是否和預期相同。
HIDS運行依賴與這樣一個原理:一個成功的入侵者一般而言都會留下他們?nèi)肭值暮圹E。這樣,計算機管理員就可以察覺到一些系統(tǒng)的修改,HIDS亦能檢測并報告出檢測結(jié)果。
一般而言,HIDS使用一個它們所監(jiān)視的目標系統(tǒng)以及文件系統(tǒng)(非必需)的數(shù)據(jù)庫,HIDS也可以核對內(nèi)存中未被非法修改的區(qū)域。對于每一個正被處理的目標文件來說,HIDS會記錄下他們的屬性(如權(quán)限、大小、修改時間等)然后,如果該文件有其文件內(nèi)容的話,HIDS將會創(chuàng)建一個校驗碼(如SHA1,MD5或類似)。這個校驗碼信息將儲存在一個安全的數(shù)據(jù)庫中,即校驗碼數(shù)據(jù)庫,以便將來的核對。
參考資料 >