基于主機的入侵檢測系統有哪些

按照檢測對象的不同，基于主機的入侵檢測系統可以分為兩類：網絡連接檢測和主機文件檢測。

1.網絡連接檢測

網絡連接檢測是對試圖進入該主機的數據流進行檢測，分析確定是否有入侵行為，避免或減少這些數據流進入主機系統后造成損害。

網絡連接檢測可以有效地檢測出是否存在攻擊探測行為，攻擊探測幾乎是所有攻擊行為的前奏。系統管理員可以設置好訪問控制表，其中包括容易受到攻擊探測的網絡服務，并且為它們設置好訪問權限。如果入侵檢測系統發現有對未開放的服務端口進行網絡連接，說明有人在尋找系統漏洞，這些探測行為就會被入侵檢測系統記錄下來，同時這種未經授權的連接也被拒絕。

2.主機文件檢測

通常入侵行為會在主機的各種相關文件中留下痕跡，主機文件檢測能夠幫助系統管理員發現入侵行為或入侵企圖，及時采取補救措施。

主機文件檢測的檢測對象主要包括以下幾種：

(1)系統日志。系統日志文件中記錄了各種類型的信息，包括各用戶的行為記錄。如果日志文件中存在異常的記錄，就可以認為已經或正在發生網絡入侵行為。這些異常包括不正常的反復登錄失敗記錄、未授權用戶越權訪問重要文件、非正常登錄行為等。

(2)文件系統。惡意的網絡攻擊者會修改網絡主機上包含重要信息的各種數據文件，他 們可能會刪除或者替換某些文件，或者盡量修改各種日志記錄來銷毀他們的攻擊行為可能留下的痕跡。如果入侵檢測系統發現文件系統發生了異常的改變，例如一些受限訪問的目錄或文件被非正常地創建、修改或刪除，就可以懷疑發生了網絡入侵行為。

(3)進程記錄。主機系統中運行著各種不同的應用程序，包括各種服務程序。每個執行中的程序都包含了一個或多個進程。每個進程都存在于特定的系統環境中，能夠訪問有限的系統資源、數據文件等，或者與特定的進程進行通信。黑客可能將程序的進程分解，致使程序中止，或者令程序執行違背系統用戶意圖的操作。如果入侵檢測系統發現某個進程存在著異常的行為，就可以懷疑有網絡入侵。

回答所涉及的環境：聯想天逸510S、Windows 10。