赞
踩
随着网络安全攻防对抗的日趋激烈,主机当前企业和组织的安全运营工作面临的挑战越来越突出,外网防护的同时,内网主机安全防护也越来越重要。
HIDS(Host-based Intrusion Detection System),是基于主机型入侵检测系统的简称。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。作为传统攻防视角的重要一环有着不可替代的作用,可以有效的检测到从网络层面难以发现的安全问题,如:后门,反弹shell,恶意操作,主机组件安全漏洞,系统用户管理安全问题,主机基线安全风险等。
HIDS的原理及体系结构
主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色,它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断,并把警报信息发送给控制端程序,由管理员集中管理。此外,代理程序需要定期给控制端发出信号,以使管理员能确信代理程序工作正常。如果是个人主机入侵检测,代理程序和控制端管理程序可以合并在一起,管理程序也简单得多。
不同的应用范围,对主机入侵检测的要求也有不同。我们将其分为:个人、企业、政府、电信等多个级别。
个人级:由于个人电脑的配置较低,专供个人使用的入侵检测产品在功能和性能上做了极大的简化。同时在易用性方面针对个人用户又有了加强,如图形界面的使用,配置向导等功能。
企业级:企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到一个平衡点。
政府级:政府网络虽然流量并不比企业网络流量大,但是政府网络的安全性显然比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。
电信级:在电信企业的网络中,进出的数据流量是普通企业网络的几倍甚至几百倍。实时检测如此大的数据流量,对产品的攻击识别能力、丢包率等性能指标提出了极高的要求。
主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志和SNMP陷阱来寻找某些模式,这些模式可能意味着一大堆安全上很重要的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输,受拒的登录企图,物理信息(如一块以太网卡被设为混杂模式),以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息
基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就是关键系统文件有没有在未经允许的情况下被修改,包括访问时间、文件大小和MD5密码校验值。
主机入侵检测系统需要和现有的系统紧密集成,当然支持的平台越多越好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级Windows和Unix系统。
相对于网络入侵检测,主机入侵检测有以下优点:
1.性价比高 在主机数量较少的情况下,这种方法的性价比可能更高。
2.更加细致 这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。
3.视野集中 一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法活动的。
针对主机安全这块,德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。自适应安全架构核心理念也就是上文提到的:持续监控与分析以及安全能力协同联动。
德迅卫士为什么会这么适合呢?因为德迅卫士核心平台架构,主要由 Agent、Engine、Console三部分构成,为产品服务提供基础的、灵活的、稳固的核心能力支持。
一、Agent - 主机探针
Agent只需要一条命令就能在主机上完成安装,且自动适配各种物理机、虚拟机和云环境,运行稳定、消耗低,能够持续收集主机进程、端口和账号信息,并实时监控进程、网络连接等行为,还能与Server端通信,执行其下发的任务,主动发现主机问题。
二、Engine - 安全引擎
Server作为核心平台的信息处理中枢,支持横向扩展分布式部署,能够持续分析检测从各个Agent上接收到的信息和行为并进行保存,可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为,从而实现对入侵行为实时预警。
三、Console - 控制中心
以Web控制台的形式和用户交互,清晰展示各项安全监测和分析结果,并对重大威胁进行实时告警,帮助用户更好更快地处理问题,提供集中管理的安全工具,方便用户进行系统配置和管理、安全响应等相关操作。
而且德迅卫士它的产品体系不仅仅只有入侵检测这一方面:
一、资产清点
可自动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力。
①细粒度梳理关键资产
②业务应用自动识别
③良好的扩展能力
④与风险和入侵全面关联
二、风险发现
可主动、精准发现系统存在的安全风险,提供持续的风险监测和分析能力。
①持续安全监控和分析
②多种应用/系统风险
③强大的漏洞库匹配
④专业具体的修复建议
三、入侵检测
可实时发现入侵事件,提供快速防御和响应能力
①全方位攻击监控
②高实时入侵告警
③可视化深度分析
④多样化处理方式
四、合规基线
构建了由国内信息安全等级保护要求和CIS组成的基准要求,帮助用户快速进行企业内部风险自测,发现问题并及时修复。
①支持等保/CIS等多重标准
②自动识别需检查的基线
③一键任务化检测
④企业自定义基线检查
五、病毒查杀
结合多个病毒检测引擎,能够实时准确发现主机上的病毒进程,并提供多角度分析结果,以及相应的病毒处理能力。
①多引擎病毒检测
②实时监控告警
③主动病毒阻断
④沙箱验证修复
六、远程防护
远程防护用于对远程桌面登录进行防护,防止非法登录。支持多重防护规则,增强远程桌面安全。
①微信认证登录
②手机验证码登录
③二级密码登录
④区域所在地登录
总之,HIDS作为保护主机系统安全的重要工具,具有独特的优势和价值。在未来的网络安全领域中,随着技术的不断进步和创新,HIDS将会发挥更加重要的作用,为我们构建一个更加安全、可靠的网络环境提供有力的保障。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。