什么是HIDS或主机入侵检测系统?
HIDS是主机入侵检测系统的缩写。它将监视安装了计算机/网络的计算机,以查找入侵和滥用情况。如果找到,它将记录活动并通知管理员.
HIDS类似于您在家中使用智能监控摄像头;如果入侵者闯入您的房屋,摄像机将开始记录并向您的移动设备发送警报.
这是我们的清单 六种最佳HIDS工具:
- SolarWinds安全事件管理器(免费试用) 出色的HIDS,具有全面的报告,可确保数据安全性符合标准。在Windows服务器上运行,但也从Linux和Unix系统收集数据.
- Papertrail(免费计划) SolarWinds的基于云的日志聚合器,有免费版和付费版.
- ManageEngine事件日志分析器(免费试用) 该工具检查Windows Server或Linux中的日志文件数据,并从其他来源添加威胁情报.
- OSSEC 免费日志文件处理器,可同时实现基于主机和基于网络的检测策略。在Windows,Linux,Unix和Mac OS上安装.
- 萨根 免费的基于主机的入侵检测系统,该系统同时使用签名和基于异常的策略。可以在Linux,Unix和Mac OS上运行.
- Splunk 免费的基于主机的入侵检测系统,其付费版本还包括基于网络的方法。在Windows,Linux和Mac OS上安装,并且您也是基于云的版本.
入侵检测已成为网络的重要保护方法,以应对任何包含人为因素的系统固有的安全漏洞。无论您的用户访问策略多么强大,黑客都可以通过诱使员工披露访问凭据来解决这些问题.
具有访问权限的黑客可以占领公司系统多年,而不会被发现。这种攻击称为 高级持续威胁 (易于)。 IDS专门旨在根除APT的.
HIDS工具专注于监视日志文件。大多数应用程序会生成日志消息,并将这些记录存储到文件中,使您可以在一段时间内搜索它们并发现入侵迹象。收集系统上所有日志消息的一个大问题是您最终将获得 大量数据. 以有序的方式存储日志消息有助于您确定正确的文件,以按应用程序和日期获取数据。所以,第一步 从您的日志系统中获取有意义的信息 是组织日志文件服务器的文件名和目录结构.
实施HIDS的下一步是进行一些自动检测。 HIDS将在日志消息中搜索以下内容: 具体事件 看起来他们可能已经记录了恶意活动。这是HIDS工具的核心,并且指定要检索的记录的检测方法由 政策 还有一个 规则库.
许多HIDS允许您 编写自己的警报生成规则. 但是,选择安全系统时真正要寻找的是一组预先编写的规则,这些规则结合了编写软件的安全专家的专业知识.
HIDS仅与其提供的策略一样好。您不能期望跟上所有最新的攻击手段,同时还要花时间处理日常工作,如果可以的话,试图了解一切都是没有意义的。 专长 作为HIDS工具为您提供.
日志文件的重要性
日志和事件消息的数量可能是巨大的,很容易忽略它们。但是,数据泄露引发的诉讼风险或可能通过以下方式对企业造成的损害 数据丢失 意味着无法保护数据现在可以毁了您的业务.
安全和数据保护问题现已成为 纳入合同要求 为了使利益相关者放心并确保业务安全,目前行业遵循许多标准。符合数据完整性标准包括对日志文件维护的要求.
根据公司实施的标准,您将需要存储日志文件数年。因此,日志文件管理现在已成为重要的业务需求。在设置日志服务器时,也可能 将安全措施纳入其中, 这就是HIDS所做的.
日志文件安全
日志文件完整性的维护是 HIDS的重要组成部分. 事件消息可以识别入侵,因此日志文件是黑客的目标。入侵者可以通过处理日志文件来删除犯罪记录,从而掩盖自己的足迹。因此, 备份日志文件并检查未经授权的更改的日志服务器 对于数据安全标准合规性很重要.
如果源信息遭到破坏,HIDS系统将无法有效地保护系统资源。日志文件的保护还扩展到网络的身份验证系统。没有日志文件的自动保护系统,就无法在不监视用户权限安全的情况下区分授权和未授权日志文件访问.
HIDS与NIDS
基于主机的入侵检测系统并不是唯一的入侵保护方法。入侵检测系统分为两类。 HIDS是其中之一,另一个是基于网络的入侵检测系统.
HIDS和NIDS都检查系统消息。这相当于查看日志和事件消息。然而, NIDS还检查数据包数据 当它通过网络时。在这两种方法之间划分入侵检测职责的经验法则是,NIDS捕获实时数据以进行检测和处理。 HIDS检查文件中的记录.
NIDS的优势在于,它提供的响应比HIDS更快。一旦网络上发生可疑事件,NIDS应立即发现并发出警报。但是,黑客们很会偷偷摸摸,不断调整自己的方法来逃避检测. 在更广泛的范围内考虑时,某些活动模式只会变得明显为恶意.
获取HIDS还是NIDS更好,这不是什么大问题,因为实际上您同时需要.
HIDS的关键属性
通过分析有关活动的历史数据,HIDS能够发现一段时间内发生的活动模式。但是,即使在中型网络上, 每天生成的日志记录量可能非常大, 因此选择一种有效的分类和搜索工具很重要.
如果速度太慢,则不值得使用您的HIDS。记住,那 新记录不断积累, 因此,快速的HIDS通常比功能非常完善的工具更好。聪明的系统管理员更喜欢在显示方式上折衷以提高速度。但是,快速且功能完善的HIDS工具是所有工具中最好的.
HIDS和SIEM
调查网络安全系统时,会经常遇到SIEM这个词。该首字母缩写词代表 安全信息和事件管理. 这是一个综合术语,是通过合并 安全信息管理 (SIM卡)和 安全事件管理 (扫描电镜)。安全信息管理检查日志文件,因此它与HIDS相同。安全事件管理监视实时数据,使其等同于NIDS。如果实施混合入侵检测系统,则将创建一个SIEM。.
入侵防御系统
作为入侵检测系统,HIDS是网络保护的重要元素。但是,它并不能提供保护公司数据免遭盗窃或破坏所需的所有功能。您还需要能够 根据IDS提供的信息采取行动.
威胁补救措施可以手动执行。您可能可以使用网络管理工具,以帮助您阻止入侵者。但是,将检测和修复链接在一起会创建一个 入侵防御系统 (IPS).
入侵检测和入侵防御策略均基于没有防火墙或防病毒系统可靠的假设。 IDS是第二道防线,许多IT安全专家警告说 没有人应该依靠一种策略来保护网络的边界 因为用户的错误或恶意的员工活动都可能破坏任何安全系统.
“入侵防御系统”有点用词不当,因为一旦发现入侵防御,IPS就会关闭安全漏洞,而不是使系统变得水密以至于一开始就不会发生入侵.
先进的威胁防护
解决高级持续威胁时,您可能会看到的另一个术语是ATP。这代表高级威胁防护。 ATP系统的基本形式与IDS相同。但是,某些ATP提供程序强调威胁情报是其系统的定义特征. 威胁情报也是IDS和SIEM系统定义的一部分.
在HIDS中,威胁情报基于数据搜索条件和识别恶意活动的系统测试的规则库。这可以以设置为策略的编码检查或可调整规则的形式提供。威胁情报也可以通过AI在IDS中制定。但是,自动化系统的策略形成策略只能像在创建时将其硬连线到推理规则那样全面.
ATP提供商强调其集中威胁意识服务是一项定义功能。这些服务是作为ATP软件的额外订阅提供的,或包含在购买价格中。这是 信息共享元素,使ATP软件提供商可以分发新策略和检测规则 基于其他组织已成功识别出新的攻击媒介。一些HIDS提供程序包括此服务,而一些HIDS得到共享新检测策略的用户社区的支持。但是,HIDS提供程序在其服务的此威胁信息分发元素方面不如ATP提供程序那么强大.
HIDS检测方法
HIDS和NIDS可以根据其检测方法分为两个子类别。这些是:
- 基于异常的检测
- 基于签名的检测
对于这两种策略,NIDS和HIDS之间都没有直接映射。也就是说,不能说NIDS更加依赖这些方法中的一种,而HIDS完全依赖于另一种检测方法。 HIDS和NIDS都可以使用这两种检测策略中的一种或两种.
具有基于签名策略的HIDS与防病毒系统的工作方式相同;基于签名的NIDS就像防火墙一样运行。也就是说,基于签名的方法在数据中寻找模式。防火墙在传入和传出的网络流量中查找关键字,数据包类型和协议活动,而NIDS对网络中传输的流量执行相同的检查。防病毒程序将在程序文件中查找特定的位模式或关键字,而HIDS对日志文件也是如此.
异常是用户或进程的意外行为. 例如,同一位用户同一天都从洛杉矶,香港和伦敦登录网络。另一个例子是,如果服务器的处理器在凌晨2:00突然开始工作,. 基于异常的HIDS将通过日志文件查找这些异常活动的记录;基于异常的NIDS会尝试发现这些异常情况.
与在HIDS和NIDS之间进行选择一样,通过同时选择基于签名的检测还是基于异常的IDS来决定.
推荐的HIDS工具
通过阅读我们的建议,您可以缩小对基于主机的入侵检测系统的搜索范围。此列表代表了HIDS各个方面的最佳品种.
你会找到 免费工具 在列表中,其中一些用户界面非常差,但由于它们具有非常快的数据处理速度而被列入列表。您还将在列表中找到一些工具,这些工具包括常规的日志文件管理过程,并且这些工具是专门为符合知名度而编写的 数据安全标准. 其他工具很全面,可在后端和界面中提供您在HIDS中所需的一切.
1. SolarWinds安全事件管理器 (免费试用)
SolarWinds创建了具有自动修复功能的HIDS,使其成为入侵防御系统,安全性 事件管理器. 该工具包括合规性审核报告,可帮助您跟踪PCI DSS,SOX,HIPAA,ISO,NCUA,FISMA,FERPA,GLBA,NERC CIP,GPG13和DISA STIG.
该实用程序内置的日志文件保护功能包括传输和存储中的加密以及文件夹和文件校验和监视。您可以 转发日志消息 和 备份或存档整个文件夹和文件. 因此,该工具的日志文件管理和完整性功能非常出色.
该工具将不断监视您的日志文件,包括仍在打开以供新记录使用的日志文件。您不必手动发出查询,因为 安全事件管理器将自动引发警报 每当检测到警告条件时。包装内还有一个分析工具,使您可以用肉眼手动检查数据完整性和入侵点.
尽管此软件仅安装在Windows Server上,但它将从其他操作系统(包括Linux和Unix)收集日志数据。你可以得到 30天免费试用 SolarWinds安全事件管理器的功能.
SolarWinds Security Event Manager下载30天免费试用版
2. Papertrail(免费计划)
SolarWinds运行 基于云的日志管理服务,称为Papertrail. 这是 日志聚合器 集中化您的日志文件存储。 Papertrail可以管理 Windows事件日志, Syslog消息, Apache服务器日志文件, Ruby on Rails程序消息, 以及路由器和防火墙通知。当消息传输到日志文件时,可以在系统仪表板中实时查看消息。除管理日志文件外,该工具还包括分析支持实用程序.
日志数据在传输和静止时均被加密,并且通过身份验证来保护对日志文件的访问。您的文件保存在Papertrail服务器上,并且 SolarWinds负责备份和归档, 这样您就可以节省购买,管理和维护文件服务器的费用.
Papertrail员工 异常和基于特征的检测方法 并且您会从针对其他Papertrail客户的威胁中学到的策略更新中受益。您还可以组装自己的检测规则.
SolarWinds通过订阅向Papertrail提供一系列计划, 最低的是免费的.
SolarWinds Papertrail日志聚合器在此处免费注册计划
3. ManageEngine事件日志分析器(免费试用)
ManageEngine的事件日志分析器 是 HIDS和NIDS. 日志管理模块收集并存储 系统日志 和 SNMP协议 消息。还存储有关每个Syslog消息的元数据.
日志文件受压缩和加密保护,访问受身份验证保护. 备份可以自动恢复 分析器检测到日志文件被篡改时.
仪表板是可定制的,并且可以将不同的屏幕和功能分配给不同的用户组。报告包括对PCI DSS,FISMA和HIPAA的合规性审核。您也可以激活 系统合规性警报.
事件日志分析器运行在 视窗 要么 的Linux 并可以与ManageEngine的基础架构管理工具集成。一种 免费版 该工具的可用仅允许最多5个日志源。您也可以下载 30天免费试用 的 高级版. 有关更多定价选项,您可以 联系他们的销售团队.
ManageEngine Event Log Analyzer下载30天免费试用版
4. OSSEC
OSSEC是 免费的开源HIDS 由趋势科技生产。它还包括通常归因于NIDS的系统监视功能。这是一个非常有效的日志文件数据处理器,但是它没有用户界面。大多数用户把 基巴纳 要么 Graylog 在OSSEC的前面.
该工具将组织您的日志文件存储并保护文件免遭篡改。入侵检测是基于异常的,并且通过“政策.”这些规则集可以从用户社区免费获得.
OSSEC软件可以安装在 视窗, 的Linux, Unix系统, 要么 苹果系统. 它监控 Windows事件日志 还有注册表。它将保护根帐户 的Linux, Unix系统, 和 苹果系统. 活跃用户社区可免费提供支持,或者您可以向趋势科技付费以获取专业支持包.
5.萨根
萨根是 免费的HIDS 安装在 Unix系统, 的Linux, 和 苹果系统. 有能力收集 Windows事件日志 消息,即使它不在Windows上运行也是如此。您可以分发Sagan的处理,以保持日志服务器的CPU开销不大。系统使用 异常和基于特征的检测方法.
您可以将操作设置为在检测到入侵时自动发生。该工具具有一些较独特的HIDS缺少的一些独特功能。这些包括 IP地理定位工具 当将不同IP地址的活动跟踪到同一地理源时,将使您能够发出警报。该工具还允许您设置 与时间相关的规则来触发警报. 该系统被编写为与 鼻息, 这是一种网络检测系统,与网络数据收集器结合使用时,可提供Saga NIDS功能。萨根包括 脚本执行工具 这使它成为IPS.
6. Splunk
Splunk同时提供HIDS和NIDS功能。该工具的基本软件包是 免费使用 并且它不包含任何基于网络的数据警报,因此它是纯HIDS。如果您正在寻找 基于异常的HIDS, 这是一个非常好的选择。最高版本的Splunk被称为 Splunk企业 并且有一个软件即服务(SaaS)版本,称为 Splunk云. 在免费版和企业版之间 子弹头灯, 这有一些服务限制。还有一个在线版本的Splunk Light,名为 Splunk轻云.
Splunk具有工作流自动化功能,使其成为入侵防御系统。该模块称为 适应性行动框架 并链接自动脚本以触发警报。仅当使用Splunk的高薪选项时,才能解决检测到的问题的自动化解决方案.
Splunk的仪表板在数据可视化方面非常有吸引力,例如折线图和饼图。该系统包括 数据分析仪 在Splunk的所有版本中。这使您可以查看记录,对其进行汇总,排序和搜索,并使其以图形表示.
Splunk的所有级别均可在Windows,Linux和macOS上运行。您可以获得Splunk Light的30天免费试用版,Splunk Enterprise的60天免费试用版以及Splunk Cloud的15天免费试用版.
选择HIDS
市场上有太多具有分析功能的日志管理工具,您可能需要花费很长时间评估所有HIDS选项。与本指南中的列表, 您现在已经完成了很多研究 下一步将重点放在服务器操作系统上运行的那些工具上。如果您想使用基于云的服务,那么Papertrail和Splunk Cloud应该最让您感兴趣.
幸运的是,我们列表中的所有工具都可以免费使用或可以在 免费试用, 因此,您可以安装几个候选人,使其步调一致,而不会产生任何财务风险.
您当前是否正在运行HIDS?您选择了哪个系统?您认为购买工具很重要还是使用免费工具感到满意?在留言 注释 下面的部分,并与社区分享您的经验.
图片:PNG中的IT安全性公共区域.