2021 年 6 種最佳基於主機的入侵檢測系統 (HIDS)

我不想听起來太偏執，雖然我可能會這樣做，但網絡犯罪無處不在。每個組織都可能成為試圖訪問其數據的黑客的目標。因此，最重要的是密切關注事物並確保我們不會成為這些懷有惡意的人的受害者。第一道防線是入侵檢測系統。基於主機的系統在主機級別應用它們的檢測，通常會快速檢測到大多數入侵嘗試並立即通知您，以便您可以糾正這種情況。有這麼多基於主機的入侵檢測系統可用，為您的特定情況選擇最好的系統似乎是一個挑戰。為了幫助您清楚地了解，我們匯總了一些最佳的基於主機的入侵檢測系統的列表。

在我們揭示最好的工具之前，我們將簡要介紹一下並看看不同類型的入侵檢測系統。有些是基於主機的，而另一些是基於網絡的。我們將解釋這些差異。然後我們將討論不同的入侵檢測方法。一些工具採用基於簽名的方法，而另一些工具則在尋找可疑行為。最好的使用兩者的組合。在繼續之前，我們將解釋入侵檢測和入侵防禦系統之間的區別，因為了解我們正在研究的內容很重要。然後，我們將為這篇文章的精髓做好準備，即最好的基於主機的入侵檢測系統。

兩種類型的入侵檢測系統

基本上有兩種類型的入侵檢測系統。雖然它們的目標是相同的——快速檢測任何可能導致入侵嘗試的入侵企圖或可疑活動，但它們在執行檢測的位置上有所不同。這是一個通常被稱為執行點的概念。每種類型都有優點和缺點，一般來說，對於哪一種更可取並沒有達成共識。事實上，最好的解決方案——或者說最安全的——可能是結合了兩者的解決方案。

主機入侵檢測系統 (HIDS)

第一種入侵檢測系統，我們今天感興趣的，在主機級別運行。你可能已經從它的名字中猜到了。例如，HIDS 檢查各種日誌文件和日誌是否有可疑活動的跡象。他們檢測入侵企圖的另一種方法是檢查重要的配置文件是否有未經授權的更改。他們還可以針對特定的已知入侵模式檢查相同的配置文件。例如，通過將某個參數添加到特定配置文件中，可以知道特定的入侵方法有效。一個好的基於主機的入侵檢測系統會捕捉到這一點。

大多數情況下，HIDS 直接安裝在它們要保護的設備上。您需要在所有計算機上安裝它們。其他人只需要安裝本地代理。有些人甚至遠程完成所有工作。無論它們如何操作，好的 HIDS 都有一個集中式控制台，您可以在其中控制應用程序並查看其結果。

網絡入侵檢測系統 (NIDS)

另一種稱為網絡入侵檢測系統或 NIDS 的入侵檢測系統在網絡邊界工作以執行檢測。他們使用與主機入侵檢測系統類似的方法，例如檢測可疑活動和尋找已知的入侵模式。但他們不是查看日誌和配置文件，而是查看網絡流量並檢查每個連接請求。一些入侵方法通過故意向主機發送格式錯誤的數據包來利用已知漏洞，使它們以特定方式做出反應，從而允許它們被攻破。網絡入侵檢測系統很容易檢測到這種嘗試。

有些人認為 NIDS 比 HIDS 更好，因為它們甚至在攻擊到達您的系統之前就檢測到它們。有些人更喜歡它們，因為它們不需要在每台主機上安裝任何東西來有效地保護它們。另一方面，它們幾乎沒有提供針對內部攻擊的保護，不幸的是，這種攻擊並不少見。要被檢測到，攻擊者必須使用通過 NIDS 的路徑。由於這些原因，最好的保護可能來自使用兩種類型的工具的組合。

入侵檢測方法

就像有兩種類型的入侵檢測工具一樣，主要有兩種不同的方法用於檢測入侵企圖。檢測可以是基於簽名的，也可以是基於異常的。基於簽名的入侵檢測通過分析與入侵嘗試相關的特定模式的數據來工作。這類似於依賴病毒定義的傳統病毒保護系統。同樣，基於簽名的入侵檢測依賴於入侵簽名或模式。他們將數據與入侵簽名進行比較以識別嘗試。它們的主要缺點是在將正確的簽名上傳到軟件之前它們無法工作。很遺憾，這通常只有在一定數量的機器受到攻擊並且入侵簽名的發布者有時間發布新的更新包之後才會發生。一些供應商反應很快，而另一些供應商只能在幾天后做出反應。

另一種方法是基於異常的入侵檢測，可以更好地防止零日攻擊，這些攻擊發生在任何入侵檢測軟件有機會獲取正確的簽名文件之前。這些系統尋找異常，而不是試圖識別已知的入侵模式。例如，如果有人連續多次嘗試使用錯誤密碼訪問系統，則可能會觸發它們，這是暴力攻擊的常見跡象。可以快速檢測到任何可疑行為。每種檢測方法都有其優點和缺點。就像工具類型一樣，最好的工具是那些結合使用簽名和行為分析以獲得最佳保護的工具。

檢測與預防——一個重要的區別

我們一直在討論入侵檢測系統，但你們中的許多人可能聽說過入侵防禦系統。這兩個概念是否相同？簡單的答案是否定的，因為這兩種類型的工具用於不同的目的。然而，它們之間存在一些重疊。顧名思義，入侵檢測系統檢測入侵企圖和可疑活動。當它檢測到某些東西時，它通常會觸發某種形式的警報或通知。然後管理員必須採取必要的步驟來阻止或阻止入侵企圖。

入侵防禦系統 (IPS) 旨在完全阻止入侵的發生。主動 IPS 包括一個檢測組件，只要檢測到入侵企圖，它就會自動觸發一些補救措施。入侵防御也可以是被動的。該術語可用於指代為防止入侵而完成或放置的任何事情。例如，密碼強化可以被認為是一種入侵防禦措施。

最好的主機入侵檢測工具

我們已經在市場上尋找最好的基於主機的入侵檢測系統。我們為您提供的是真正的 HIDS 和其他軟件的混合體，雖然它們不自稱為入侵檢測系統，但具有入侵檢測組件或可用於檢測入侵企圖。讓我們回顧一下我們的首選並看看它們的最佳功能。

1. SolarWinds Log & Event Manager（免費試用）

我們的第一個條目來自 SolarWinds，這是網絡管理工具領域的一個通用名稱。該公司已經成立大約 20 年，為我們帶來了一些最好的網絡和系統管理工具。眾所周知，它的許多免費工具可以滿足網絡管理員的某些特定需求。這些免費工具的兩個很好的例子是 Kiwi Syslog Server 和 Advanced Subnet Calculator。

不要讓SolarWinds Log & Event Manager的名字欺騙了您。它不僅僅是一個日誌和事件管理系統。該產品的許多高級功能將其納入安全信息和事件管理 (SIEM) 範圍。其他功能使其成為入侵檢測系統，甚至在一定程度上，作為入侵防禦系統。例如，該工具具有實時事件關聯和實時修復功能。

免費試用：SolarWinds 日誌和事件管理器
官方下載鏈接：https://www.solarwinds.com/log-event-manager-software/registration

的SolarWinds的日誌與事件管理器提供的可疑活動的瞬時檢測（一個IDS樣功能）和自動響應（一個IPS樣功能）。它還可以出於緩解和合規性目的執行安全事件調查和取證。由於其經過審計驗證的報告，該工具還可用於證明 HIPAA、PCI-DSS 和 SOX 等的合規性。該工具還具有文件完整性監控和 USB 設備監控功能，使其更像是一個集成的安全平台，而不僅僅是一個日誌和事件管理系統。

對於定價的SolarWinds的日誌與事件管理器在$ 4,585開始長達30監控節點。最多可以購買 2500 個節點的許可證，從而使產品具有高度的可擴展性。如果您想試用該產品並親眼看看它是否適合您，可以免費試用 30 天的全功能。

2. OSSEC

開源安全（OSSEC）是迄今為止領先的基於主機的開源入侵檢測系統。該產品歸趨勢科技所有，趨勢科技是 IT 安全領域的領先品牌之一，也是最好的病毒防護套件之一的製造商。當安裝在類 Unix 操作系統上時，該軟件主要關注日誌和配置文件。它創建重要文件的校驗和並定期驗證它們，在發生奇怪的事情時提醒您。它還將監視和警告獲取 root 訪問權限的任何異常嘗試。在 Windows 主機上，系統還會留意未經授權的註冊表修改，這可能是惡意活動的跡象。

作為基於主機的入侵檢測系統，OSSEC需要安裝在您要保護的每台計算機上。但是，中央控制台確實整合了來自每台受保護計算機的信息，以便於管理。雖然OSSEC控制台僅在類 Unix 操作系統上運行，但可以使用代理來保護 Windows 主機。任何檢測都會觸發警報，該警報將顯示在中央控制台上，同時也會通過電子郵件發送通知。

3. 薩溫

Samhain是另一個著名的免費主機入侵檢測系統。從 IDS 的角度來看，它的主要功能是文件完整性檢查和日誌文件監控/分析。不過，它的作用遠不止於此。該產品將執行 rootkit 檢測、端口監控、惡意 SUID 可執行文件和隱藏進程的檢測。該工具旨在監控運行各種操作系統的多台主機，同時提供集中日誌記錄和維護。但是，Samhain也可以用作單台計算機上的獨立應用程序。該軟件主要在 Unix、Linux 或 OS X 等 POSIX 系統上運行。它也可以在 Cygwin 下的 Windows 上運行，Cygwin 是一個允許在 Windows 上運行 POSIX 應用程序的包，儘管僅在該配置中測試了監控代理。

一個Samhain的最獨特的功能是它的隱身模式，這使得它能夠不受潛在的攻擊者被檢測到運行。眾所周知，入侵者一旦進入系統，就會在被檢測到之前迅速殺死他們識別的檢測進程，從而使他們不被發現。Samhain使用隱寫技術向他人隱藏其進程。它還使用 PGP 密鑰保護其中央日誌文件和配置備份，以防止篡改。

4.Fail2Ban

Fail2Ban是一個免費的開源主機入侵檢測系統，還具有一些入侵防禦功能。該軟件工具監控日誌文件中是否存在可疑活動和事件，例如登錄嘗試失敗、漏洞利用搜索等。該工具的默認操作是，一旦檢測到可疑內容，就會自動更新本地防火牆規則以阻止源 IP 地址惡意行為。實際上，這不是真正的入侵防禦，而是具有自動修復功能的入侵檢測系統。我們剛剛描述的是該工具的默認操作，但也可以配置任何其他任意操作（例如發送電子郵件通知），使其表現得像一個更“經典”的入侵檢測系統。

Fail2Ban為一些最常見的服務（例如 Apache、SSH、FTP、Postfix 等）提供了各種預建過濾器。正如我們所解釋的，預防是通過修改主機的防火牆表來執行的。該工具可以與 Netfilter、IPtables 或 TCP Wrapper 的 hosts.deny 表一起使用。每個過濾器都可以與一個或多個操作相關聯。

5. 助手

該高級入侵檢測環境，或AIDE，是另一個免費的主機入侵檢測系統，這其中主要集中在rootkit檢測和文件簽名比較。當您最初安裝它時，該工具將從系統的配置文件中編譯某種管理數據的數據庫。然後可以將該數據庫用作基線，可以將任何更改與該基線進行比較，並在需要時最終回滾。

AIDE使用基於簽名和基於異常的檢測方案。這是一種按需運行的工具，不按計劃或持續運行。事實上，這是該產品的主要缺點。但是，由於它是一個命令行工具而不是基於 GUI 的，因此可以創建一個 cron 作業來定期運行它。如果您選擇頻繁地運行該工具（例如每分鐘運行一次），您幾乎可以獲得實時數據，並且您將有時間在任何入侵嘗試過大並造成嚴重破壞之前做出反應。

從本質上講，AIDE只是一個數據比較工具，但在一些外部預定腳本的幫助下，它可以變成一個真正的 HIDS。不過請記住，這本質上是一個本地工具。它沒有集中管理，也沒有花哨的 GUI。

6. 薩根

我們列表中的最後一個是Sagan，它實際上更像是一個日誌分析系統，而不是一個真正的 IDS。然而，它具有一些類似 IDS 的功能，這就是為什麼它值得在我們的列表中佔有一席之地。該工具在本地監視安裝它的系統的日誌文件，但它也可以與其他工具交互。例如，它可以分析 Snort 的日誌，有效地將 Snort 的 NIDS 功能添加到本質上是 HIDS 的內容中。它不僅僅與 Snort 交互。Sagan也可以與 Suricata 交互，並且它與多種規則構建工具兼容，例如 Oinkmaster 或 Pulled Pork。