扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
越来越多的计算机病毒和黑客绕过外围安全设备向主机发起攻击。在检测针对主机的攻击方面,基于网络的入侵检测系统(NIDS)显得无能为力,而基于主机的IDS(HIDS)却能够检测这种攻击。HIDS 软件 安装在服务器上,也可以安装在PC和笔记本电脑当中,被认为是保护关键服务器的最后一道防线,是企业整体安全策略的关键部分。
在通常情况下,企业针对服务器业务价值的大小采取不同的安全措施,HIDS代理程序通常被部署在关键服务器上。这些服务器通常是网络基础设施服务器、业务基础设施服务器和保存着企业商业机密的服务器。
HIDS能够监测系统文件、进程和日志文件来寻找可疑活动。多数HIDS代理程序根据攻击特征来识别攻击。与防病毒软件功能类似,HIDS代理能够分析不同形式的数据包和不同特征的攻击行为。HIDS扫描操作系统和应用程序日志文件,查找恶意行为的痕迹;检测文件系统,查看敏感文件是否被非法访问或被篡改;检测进出主机的网络传输流,发现攻击。
黑客和病毒常用的一个攻击手段是利用关键系统存在的缓冲区溢出 漏洞 进行攻击。缓冲区溢出相当于打开了系统后门,为非法访问者提供了根级或管理员级的访问权限。攻击者通过操作系统的后门,将一个特洛伊 木马 程序复制到系统文件夹中,并将这个特洛伊文件注册到操作系统或程序调用中,并在系统被重新引导时执行该特洛伊木马程序。每当系统启动时,这个恶意特洛伊程序就会开始执行事先定义的各种恶意活动。
通过将代理程序安装在服务器上,HIDS可以检测缓冲区溢出攻击。如果需要的话,HIDS系统还可以在特洛伊程序被复制时、Windows注册表被修改时或者特洛伊程序被执行时阻止入侵。
一旦检测到入侵,HIDS代理程序可以利用多种方式做出反应。它可以生成一个与其他事件相关联的事件报告;可以利用电子邮件、呼机或手机向管理人员发出警报;可以执行特定的程序或脚本,阻止攻击。越来越多的HIDS能够在可疑活动的传输过程中检测到它们,从而可以在攻击到达目标之前阻止它们。
在加强主机防御和降低主机安全风险方面,HIDS具有独特优势,它能够弥补NIDS、基于诱饵的IDS以及防火墙在保护主机方面的不足,应当成为企业多层安全战略的组成部分.
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。