1.1定義

   主機入侵檢測系統(tǒng)(host—based IDS，HIDS)的檢測目標(biāo)主要是主機系統(tǒng)和本地用戶。檢測原理是在每個需要保護的端系統(tǒng)(主機)上運行代理程序(agent)，以主機的審計數(shù)據(jù)、系統(tǒng)日志、應(yīng)用程序日志等為數(shù)據(jù)源，主要對主機的網(wǎng)絡(luò)實時連接以及主機文件進行分析和判斷，發(fā)現(xiàn)可疑事件并作出響應(yīng)。

1.2工作原理

其工作原理主要包括如下幾個方面：

（1）事件采集：主機入侵檢測系統(tǒng)通過數(shù)據(jù)采集器實時監(jiān)測操作系統(tǒng)及服務(wù)器軟件的安全事件和信息，例如進程信息、端口信息、用戶登錄行為、文件變化、內(nèi)存使用等等。

（2）事件分析：主機入侵檢測系統(tǒng)采集到的事件信息會通過安全分析引擎進行整合和分析，比如對事件的來源、目標(biāo)、行為、風(fēng)險程度等進行分析，以此識別出潛在的安全威脅。

（3）漏洞掃描：主機入侵檢測系統(tǒng)還可以針對操作系統(tǒng)和應(yīng)用程序的漏洞進行掃描，并及時發(fā)現(xiàn)并報告可利用漏洞的攻擊行為。

（4）告警產(chǎn)生：當(dāng)主機入侵檢測系統(tǒng)識別到潛在的安全威脅時，會通過告警方式進行報警，例如生成日志文件、發(fā)送郵件、短信通知等等，以及提供相應(yīng)的解決方案，幫助管理員及時采取響應(yīng)措施。

1.3主機入侵檢測系統(tǒng)的主要功能

主要功能包括：

實時監(jiān)測和檢測服務(wù)器、應(yīng)用程序及數(shù)據(jù)庫的行為，發(fā)現(xiàn)可能存在的安全威脅。

分析事件并進行警報，指導(dǎo)管理員及時采取相應(yīng)的措施來應(yīng)對安全威脅。

分析漏洞情況并針對漏洞提供建議。

支持日志記錄和分析，提供安全審計和合規(guī)性檢查功能。

提供安全預(yù)警和遠程管理等功能，方便管理員集中管理和維護主機入侵檢測系統(tǒng)。

1.4國家相關(guān)標(biāo)準(zhǔn)

《信息安全技術(shù) 企業(yè)級主機入侵檢測系統(tǒng) 技術(shù)規(guī)范》 （GB/T 28448-2012）：該標(biāo)準(zhǔn)規(guī)定了企業(yè)級主機入侵檢測系統(tǒng)的技術(shù)要求、測試方法和評價要求，是中國國家標(biāo)準(zhǔn)委員會于2012年發(fā)布的第一部主機入侵檢測系統(tǒng)標(biāo)準(zhǔn)。

《信息安全技術(shù) 云計算環(huán)境下基礎(chǔ)設(shè)施主機入侵檢測通用規(guī)范》（GB/T 34169-2017）：該標(biāo)準(zhǔn)提出了在云計算環(huán)境下基礎(chǔ)設(shè)施主機入侵檢測的要求，并給出了相應(yīng)的技術(shù)規(guī)范和測試方法。

《信息安全技術(shù) 電子政務(wù)主機入侵檢測通用規(guī)范》（GB/T 34335-2017）：該標(biāo)準(zhǔn)指導(dǎo)電子政務(wù)系統(tǒng)使用主機入侵檢測系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全監(jiān)控和攻擊防護等功能，提高系統(tǒng)安全性和可靠性。

此外，還有一些行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化組織的推薦標(biāo)準(zhǔn)，如中華人民共和國公安部頒布的《警用主機防護系統(tǒng)技術(shù)要求與測試方法》（GA/T 758-2017）和國際標(biāo)準(zhǔn)化組織發(fā)布的《信息技術(shù) 安全技術(shù) 威脅情報共享》（ISO/IEC 30111:2013）等等。

1.5主機入侵檢測分類及定級

1.主機入侵檢測分類

主機入侵檢測可以根據(jù)其實現(xiàn)方式和檢測目的進行分類，一般分為以下幾種：

基于規(guī)則的檢測：基于規(guī)則的檢測系統(tǒng)利用特定的規(guī)則集來判斷主機上是否存在安全威脅。這些規(guī)則集可以基于攻擊行為、惡意代碼、異常流量等方面進行定義。當(dāng)檢測到與規(guī)則集匹配的情況時，該系統(tǒng)將產(chǎn)生警報或采取其他響應(yīng)措施。

基于模型的檢測：基于模型的檢測系統(tǒng)使用事先構(gòu)建好的主機行為模型來檢測主機的正常和異常行為。該系統(tǒng)通過對主機行為的學(xué)習(xí)和建模，可以有效地檢測新的威脅和未知漏洞等問題。

基于特征的檢測：基于特征的檢測系統(tǒng)通過分析主機上的日志或其他信息來識別潛在的安全問題。該檢測方法可以檢測網(wǎng)絡(luò)流量、文件操作、進程監(jiān)控等不同類型的事件。

2.主機入侵檢測級別

根據(jù)其檢測結(jié)果的安全級別，主機入侵檢測可以分為以下幾個級別：

一級警報：通常表示較低的風(fēng)險，比如一些普通攻擊或者非惡意的行為等。

二級警報：表示較高風(fēng)險，比如某些特定攻擊或惡意軟件的行為等。

三級警報：表示非常高的風(fēng)險，例如某些高級網(wǎng)絡(luò)攻擊或者系統(tǒng)崩潰等等。

根據(jù)不同的安全級別，管理員可以采取相應(yīng)的響應(yīng)措施，來及時應(yīng)對主機入侵和其他安全事件。

3.主機入侵檢測系統(tǒng)檢測對象

（1）進程和線程：該類型檢測通常監(jiān)控主機上的進程和線程活動，比如檢測是否存在異常進程、異常線程或者進程權(quán)限的變化。

（2）事件日志：該類型檢測通常涉及對主機事件日志進行監(jiān)控，包括登錄成功失敗、文件訪問、網(wǎng)絡(luò)連接等事件，通過分析這些事件可以判斷是否存在非法操作或異常行為。

（3）文件和系統(tǒng)配置：該類型檢測主要監(jiān)控主機上的文件系統(tǒng)和系統(tǒng)配置變化，比如檢測文件的插入和刪除、系統(tǒng)配置的變化以及重要文件是否被篡改。

（4）網(wǎng)絡(luò)流量：該類型檢測主要通過監(jiān)控主機上的網(wǎng)絡(luò)流量，判斷是否存在異常的數(shù)據(jù)包流量或者進行惡意攻擊的流量。

（5）性能和資源消耗：該類型檢測主要是通過監(jiān)控主機上的性能和資源消耗情況，判斷是否出現(xiàn)異常的資源消耗或性能下降現(xiàn)象，比如CPU利用率、內(nèi)存使用情況等。

1.6主機入侵檢測系統(tǒng)優(yōu)缺點

1.優(yōu)點

實時監(jiān)控：主機入侵檢測系統(tǒng)可以在實時監(jiān)控主機的行為，及時發(fā)現(xiàn)和響應(yīng)安全威脅，減少損失。

精度高：主機入侵檢測系統(tǒng)可以通過多種技術(shù)來檢測各種類型的威脅，包括惡意軟件、網(wǎng)絡(luò)攻擊等，具有較高的檢測準(zhǔn)確性。

自主學(xué)習(xí)：一些先進的主機入侵檢測系統(tǒng)能夠自主學(xué)習(xí)主機正常操作行為，并建立相應(yīng)的安全模型，從而提高了檢測效率和準(zhǔn)確性。

靈活性：主機入侵檢測系統(tǒng)可以根據(jù)不同的企業(yè)需求進行定制，提供靈活的部署方式，包括分布式架構(gòu)和云端部署等。

2.缺點

漏報和誤報：主機入侵檢測系統(tǒng)可能會因為規(guī)則集或模型構(gòu)建不完善而出現(xiàn)漏報或誤報，降低了安全檢測的可信度。

資源消耗：主機入侵檢測系統(tǒng)需要大量的系統(tǒng)資源來運行和存儲數(shù)據(jù)，可能會影響系統(tǒng)性能和容量。

依賴性：主機入侵檢測系統(tǒng)需要不斷升級和更新才能保持檢測效果，同時也需要根據(jù)不同的應(yīng)用場景來定制規(guī)則集和模型，增加了企業(yè)的管理成本。

綜上所述，主機入侵檢測系統(tǒng)雖然具有一些優(yōu)點和特點，但其仍需不斷完善和優(yōu)化才能更好地適應(yīng)企業(yè)的安全需求。

1.7主機入侵檢測系統(tǒng)的性能指標(biāo)和技術(shù)指標(biāo)

主機入侵檢測系統(tǒng)的性能指標(biāo)和技術(shù)指標(biāo)通常包括以下幾個方面：

（1）檢測率：指主機入侵檢測系統(tǒng)在檢測到真實安全事件的能力，即出現(xiàn)安全威脅時系統(tǒng)可以及時發(fā)現(xiàn)并報警。該指標(biāo)反映了系統(tǒng)的檢測能力。

（2）誤報率：指主機入侵檢測系統(tǒng)在未出現(xiàn)真實安全事件時發(fā)出警報的比例。該指標(biāo)反映了系統(tǒng)的準(zhǔn)確性。

（3）響應(yīng)時間：指主機入侵檢測系統(tǒng)從發(fā)現(xiàn)安全事件到采取相應(yīng)措施所花費的時間。該指標(biāo)反映了系統(tǒng)的響應(yīng)速度和處置能力。

（4）可擴展性：指主機入侵檢測系統(tǒng)能否根據(jù)業(yè)務(wù)需求進行靈活配置和擴展的能力，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。

（5）易用性：指主機入侵檢測系統(tǒng)是否易于配置、管理和維護。該指標(biāo)反映了系統(tǒng)的用戶友好程度。

（6）抗干擾性：指主機入侵檢測系統(tǒng)在遭受惡意攻擊或其他干擾時的抵御能力，如防止被攻擊者篡改或關(guān)閉。

（7）數(shù)據(jù)處理能力：指主機入侵檢測系統(tǒng)能否高效地處理大量和復(fù)雜的數(shù)據(jù)流，如網(wǎng)絡(luò)流量、事件日志等。

在技術(shù)指標(biāo)方面，主機入侵檢測系統(tǒng)需要具備多種技術(shù)手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等。此外，系統(tǒng)需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。同時，系統(tǒng)還需要有良好的安全機制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護。

一些參考的指標(biāo)值

檢測率：入侵檢測系統(tǒng)應(yīng)具備較高的攻擊檢測準(zhǔn)確率，以盡可能地識別并報告已知和未知的入侵行為。

誤報率：虛警率應(yīng)保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應(yīng)時間：入侵檢測系統(tǒng)的響應(yīng)時間應(yīng)該越快越好，可以提高保護網(wǎng)絡(luò)免受攻擊的能力。一般來說，響應(yīng)時間應(yīng)該在幾秒鐘內(nèi)完成。

系統(tǒng)資源占用率：入侵檢測系統(tǒng)應(yīng)占用較少的系統(tǒng)資源，以確保不會對其他應(yīng)用程序或服務(wù)產(chǎn)生負面影響。

數(shù)據(jù)處理速度：入侵檢測系統(tǒng)的數(shù)據(jù)處理速度應(yīng)該足夠快，以確保能夠及時分析和報告所有的安全事件

1.8招標(biāo)參考技術(shù)參數(shù)

檢測能力：系統(tǒng)應(yīng)具備較高的攻擊檢測準(zhǔn)確率，以盡可能地識別并報告已知和未知的入侵行為。

準(zhǔn)確性：系統(tǒng)的虛警率應(yīng)保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應(yīng)速度：系統(tǒng)在發(fā)現(xiàn)安全事件后的響應(yīng)時間應(yīng)該越快越好，可以提高保護網(wǎng)絡(luò)免受攻擊的能力。一般來說，響應(yīng)時間應(yīng)該在幾秒鐘內(nèi)完成。

可擴展性：系統(tǒng)應(yīng)該具備良好的可擴展性，能夠根據(jù)業(yè)務(wù)需求進行靈活配置和擴展，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。

易用性：系統(tǒng)應(yīng)該易于配置、管理和維護，反映了系統(tǒng)的用戶友好程度。

抗干擾性：系統(tǒng)應(yīng)該具備較強的抵御惡意攻擊或其他干擾的能力，如防止被攻擊者篡改或關(guān)閉。

數(shù)據(jù)處理能力：系統(tǒng)應(yīng)該具備高效地處理大量和復(fù)雜的數(shù)據(jù)流的能力，如網(wǎng)絡(luò)流量、事件日志等。

技術(shù)手段和數(shù)據(jù)源支持：系統(tǒng)應(yīng)該具備多種技術(shù)手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等；同時還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。

安全機制：系統(tǒng)應(yīng)該具備良好的安全機制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護。

系統(tǒng)資源占用率：系統(tǒng)應(yīng)當(dāng)占用較少的系統(tǒng)資源，以確保不會對其他應(yīng)用程序或服務(wù)產(chǎn)生負面影響。

支持的操作系統(tǒng): Windows, Linux, MacOS等主流操作系統(tǒng)。

版本更新和維護支持：系統(tǒng)應(yīng)該提供版本更新和維護支持服務(wù)，保障系統(tǒng)的長期穩(wěn)定運行。

1.9國家標(biāo)準(zhǔn)技術(shù)要求

（1）合規(guī)性

系統(tǒng)應(yīng)符合國家相關(guān)信息安全技術(shù)標(biāo)準(zhǔn)要求。

（2）網(wǎng)絡(luò)拓撲支持

系統(tǒng)應(yīng)支持多種網(wǎng)絡(luò)拓撲結(jié)構(gòu)，包括集中式、分布式和混合結(jié)構(gòu)等。

（3）攻擊檢測能力

系統(tǒng)應(yīng)能夠檢測各種攻擊類型，例如端口掃描、漏洞利用、惡意代碼、DDoS攻擊等。

（4）報警準(zhǔn)確率

系統(tǒng)在檢測到真實安全事件時，報警的準(zhǔn)確率應(yīng)高，不能產(chǎn)生虛警。準(zhǔn)確率應(yīng)達到90%以上，虛警率不得超過5%。

（5）響應(yīng)時間

系統(tǒng)在發(fā)現(xiàn)安全事件后的響應(yīng)時間應(yīng)該越快越好，可以提高保護網(wǎng)絡(luò)免受攻擊的能力。系統(tǒng)響應(yīng)時間應(yīng)小于1秒。

（6）數(shù)據(jù)處理能力

系統(tǒng)應(yīng)具備高效地處理大量和復(fù)雜的數(shù)據(jù)流的能力，如網(wǎng)絡(luò)流量、事件日志等。系統(tǒng)檢測準(zhǔn)確率應(yīng)達到90%以上。

（7）技術(shù)手段和數(shù)據(jù)源支持

系統(tǒng)應(yīng)具備多種技術(shù)手段，例如基于規(guī)則的檢測、基于特征的檢測、異常檢測、機器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)挖掘等；同時還需要支持多種數(shù)據(jù)源的采集和集成，如日志、網(wǎng)絡(luò)流量、配置文件等。

（8）可擴展性

系統(tǒng)應(yīng)該具備良好的可擴展性, 具有靈活配置、管理和維護的能力，如增加新的檢測規(guī)則、數(shù)據(jù)源或采用新的技術(shù)手段等。系統(tǒng)無法脫離干擾環(huán)境工作時的可利用性應(yīng)大于90%。

（9）易用性

系統(tǒng)應(yīng)該易于配置、管理和維護，反映了系統(tǒng)的用戶友好程度。系統(tǒng)應(yīng)支持主流操作系統(tǒng)，如Windows、Linux、MacOS等。

（10）故障恢復(fù)能力

系統(tǒng)應(yīng)具有快速故障定位、恢復(fù)和維護的能力，以保證系統(tǒng)長期穩(wěn)定運行。

（11）安全機制

系統(tǒng)應(yīng)該具備良好的安全機制，如加密通信、權(quán)限控制、授權(quán)訪問等，以保障數(shù)據(jù)安全和隱私保護。

（12）性能指標(biāo)

系統(tǒng)檢測準(zhǔn)確率應(yīng)達到90%以上，虛警率不得超過5%；系統(tǒng)響應(yīng)時間應(yīng)小于1秒；系統(tǒng)無法脫離干擾環(huán)境工作時的可利用性應(yīng)大于90%。

1.10核心能力指標(biāo)

（1）攻擊檢測能力：主機入侵檢測系統(tǒng)應(yīng)能夠有效檢測各種攻擊類型，如漏洞利用、木馬攻擊、惡意軟件等，并能夠?qū)崿F(xiàn)對零日漏洞的發(fā)現(xiàn)和防御。

（2）精準(zhǔn)度：主機入侵檢測系統(tǒng)應(yīng)具備較高的精準(zhǔn)度，即能夠準(zhǔn)確識別并區(qū)分合法的應(yīng)用程序行為和攻擊行為，避免誤報和漏報。

（3）及時性：主機入侵檢測系統(tǒng)應(yīng)針對入侵事件實現(xiàn)及時響應(yīng)和預(yù)警，快速提供有效的告警和處置措施，減少安全事故損失。

（4）可擴展性：主機入侵檢測系統(tǒng)應(yīng)具備良好的可擴展性，能夠靈活支持多種操作系統(tǒng)和應(yīng)用環(huán)境，支持基于規(guī)則、基于特征、基于行為等多種檢測方式，同時可以結(jié)合其他安全設(shè)備協(xié)同工作。

（5）數(shù)據(jù)處理能力：主機入侵檢測系統(tǒng)應(yīng)能夠高效處理和分析大量復(fù)雜的數(shù)據(jù)流，包括系統(tǒng)日志、進程信息、網(wǎng)絡(luò)流量、異常行為等。

（6）安全機制：主機入侵檢測系統(tǒng)應(yīng)采用加密傳輸、權(quán)限控制、訪問授權(quán)等安全機制，確保數(shù)據(jù)傳輸和存儲的安全性和完整性。

（7）可視化：主機入侵檢測系統(tǒng)應(yīng)具備良好的可視化功能，通過圖表、報表、實時監(jiān)控等方式，直觀展示系統(tǒng)安全狀態(tài)和異常情況，提供詳細的分析報告和警報信息。

（8）漏報率和誤報率：主機入侵檢測系統(tǒng)應(yīng)具備較低的漏報率和誤報率，即盡可能減少未檢測到的攻擊事件，并減少不必要的警報和誤判。

（9）響應(yīng)能力：主機入侵檢測系統(tǒng)應(yīng)能夠及時響應(yīng)和處理安全事件，并提供有效的處理措施，以減小安全風(fēng)險和損失。

（10）可用性：主機入侵檢測系統(tǒng)應(yīng)具備高可用性，能夠保障系統(tǒng)長期穩(wěn)定運行，包括快速故障定位、恢復(fù)和維護的能力，確保系統(tǒng)安全輸出。