什么是 HIDS

HIDS是即基于主機型入侵檢測系統。作為計算機系統的監視器和分析器，它并不作用于外部接口，而是專注于系統內部，監視系統全部或部分的動態的行為以及整個計算機系統的狀態。主機層可檢測的入侵威脅有很多，如系統提權、異常登錄、反彈shell、網絡嗅探、內存注入、異常進程行為、異常文件讀寫、異常網絡通信、病毒后門、安全漏洞、配置缺陷等。

HIDS使用網絡數據作為信息源有以下好處：

• 可以用獨立的主機進行檢測，網絡數據的收集和分析不會影響業務主機的運作性能。

• 以被動監聽的方式獲取數據包，不降低網絡性能。例如，包過濾防火墻在處理數據包時要先按照安全規則實施過濾，再進行轉發，這樣必然延長數據包的傳輸時間，而入侵檢測系統的被動監聽不存在此問題。

• 這種入侵檢測系統本身不容易遭受攻擊，因為其對于網絡用戶而言完全透明，攻擊者難以判斷網絡中是否存在入侵檢測系統，入侵檢測系統位于何處。

• 以網絡數據作為信息源的入侵檢測系統，相對于以主機數據作為信息源的入侵檢測系統而言，可以更快速、有效地檢測很多類型的網絡攻擊活動，如ARP欺騙、拒絕服務攻擊等。

• 網絡數據包遵循統一的通信協議，標準化程度高，可以便捷地將此類入侵檢測系統移植到不同的系統平臺上。

回答所涉及的環境：聯想天逸510S、Windows 10。