主機入侵檢測軟件安裝在哪里

主機入侵檢測軟件一般安裝在主機也就是用戶計算機上，主機入侵檢測系統的檢測目標主要是主機系統和本地用戶。檢測原理是在每個需要保護的端系統(主機)上運行代理程序(agent)，以主機的審計數據、系統日志、應用程序日志等為數據源，主要對主機的網絡實時連接以及主機文件進行分析和判斷，發現可疑事件并作出響應，所以要將其安裝在用戶主機上。

基本思想是將入侵檢測模塊安裝于網絡中的主動節點上，這些主動節點可以是需要重點保護的主機，也可以是關鍵路由節點。安裝于主機上的入侵檢測模塊主要通過對主機的審計日志進行分析來發現針對主機的可疑行為，而運行于路由節點上的入侵檢測模塊通過對經過該節點轉發的數據包文進行特征分析，通過模式識別來發現其中的入侵行為。

為了防止誤報和漏報，這些運行于不同節點上的入侵檢測系統需要協同工作來完成入侵攻擊的全局信息提取。首先，入侵檢測模塊分布于網絡的不同位置，同時收集并分析相同或不同類型的原始數據，當某個可疑事件發生后有選擇地通知管理節點，而管理節點負責接收、關聯及處理多個檢測節點的不同類型的可疑事件，綜合分析后找出入侵行為并進行報警或完成相應的控制工作；其次，當某個節點發現可疑行為后，可要求其它相關節點安裝運行特定的程序來啟動對特定信息的收集工作，并將收集到的信息返回該節點，通過綜合各節點送來的信息判斷是否為入侵行為。

基于主機的入侵檢測系統主要用于保護運用關鍵應用的服務器。其優點是對分析“可能的攻擊行為”非常有用，不僅能夠指出入侵者試圖執行哪種“危險的命令”，還能分辨出入侵者運行了什么命令，進行了什么操作、執行了哪些系統調用等。主機入侵檢測系統與網絡入侵檢測系統相比，能夠提供更為詳盡的用戶操作調用信息，且配置靈活。因此，基于主機的入侵檢測系統能確定攻擊是否成功，可用于加密的以及交換的環境，對網絡流量也不敏感并且不需要額外的硬件。