HIDS 基于主机的入侵检测系统
Host-based Intrusion Detection System —— 装在单台机器上,只盯这台机器的活动。
监控的东西:
- 文件改动(关键系统文件被篡改?)
- 进程行为(有进程在干奇怪的事?)
- 本机日志、登录记录
- 配置变化
跟 NIDS 的分工
| HIDS | NIDS | |
|---|---|---|
| 视角 | 一台主机内部 | 整个网络流量 |
| 看得到 | 主机上发生了什么 | 网络上谁在跟谁通信 |
| 看不到 | 别的机器 | 主机内部加密后的行为 |
两者互补,成熟的 SOC 两个都部署。HIDS 是 IDS 的一种部署形态。