1.1定義

   主機入侵檢測系統(host—based IDS，HIDS)的檢測目標主要是主機系統和本地用戶。檢測原理是在每個需要保護的端系統(主機)上運行代理程序(agent)，以主機的審計數據、系統日志、應用程序日志等為數據源，主要對主機的網絡實時連接以及主機文件進行分析和判斷，發現可疑事件并作出響應。

1.2工作原理

其工作原理主要包括如下幾個方面：

（1）事件采集：主機入侵檢測系統通過數據采集器實時監測操作系統及服務器軟件的安全事件和信息，例如進程信息、端口信息、用戶登錄行為、文件變化、內存使用等等。

（2）事件分析：主機入侵檢測系統采集到的事件信息會通過安全分析引擎進行整合和分析，比如對事件的來源、目標、行為、風險程度等進行分析，以此識別出潛在的安全威脅。

（3）漏洞掃描：主機入侵檢測系統還可以針對操作系統和應用程序的漏洞進行掃描，并及時發現并報告可利用漏洞的攻擊行為。

（4）告警產生：當主機入侵檢測系統識別到潛在的安全威脅時，會通過告警方式進行報警，例如生成日志文件、發送郵件、短信通知等等，以及提供相應的解決方案，幫助管理員及時采取響應措施。

1.3主機入侵檢測系統的主要功能

主要功能包括：

實時監測和檢測服務器、應用程序及數據庫的行為，發現可能存在的安全威脅。

分析事件并進行警報，指導管理員及時采取相應的措施來應對安全威脅。

分析漏洞情況并針對漏洞提供建議。

支持日志記錄和分析，提供安全審計和合規性檢查功能。

提供安全預警和遠程管理等功能，方便管理員集中管理和維護主機入侵檢測系統。

1.4國家相關標準

《信息安全技術 企業級主機入侵檢測系統 技術規范》 （GB/T 28448-2012）：該標準規定了企業級主機入侵檢測系統的技術要求、測試方法和評價要求，是中國國家標準委員會于2012年發布的第一部主機入侵檢測系統標準。

《信息安全技術 云計算環境下基礎設施主機入侵檢測通用規范》（GB/T 34169-2017）：該標準提出了在云計算環境下基礎設施主機入侵檢測的要求，并給出了相應的技術規范和測試方法。

《信息安全技術 電子政務主機入侵檢測通用規范》（GB/T 34335-2017）：該標準指導電子政務系統使用主機入侵檢測系統實現網絡安全監控和攻擊防護等功能，提高系統安全性和可靠性。

此外，還有一些行業標準和標準化組織的推薦標準，如中華人民共和國公安部頒布的《警用主機防護系統技術要求與測試方法》（GA/T 758-2017）和國際標準化組織發布的《信息技術 安全技術 威脅情報共享》（ISO/IEC 30111:2013）等等。

1.5主機入侵檢測分類及定級

1.主機入侵檢測分類

主機入侵檢測可以根據其實現方式和檢測目的進行分類，一般分為以下幾種：

基于規則的檢測：基于規則的檢測系統利用特定的規則集來判斷主機上是否存在安全威脅。這些規則集可以基于攻擊行為、惡意代碼、異常流量等方面進行定義。當檢測到與規則集匹配的情況時，該系統將產生警報或采取其他響應措施。

基于模型的檢測：基于模型的檢測系統使用事先構建好的主機行為模型來檢測主機的正常和異常行為。該系統通過對主機行為的學習和建模，可以有效地檢測新的威脅和未知漏洞等問題。

基于特征的檢測：基于特征的檢測系統通過分析主機上的日志或其他信息來識別潛在的安全問題。該檢測方法可以檢測網絡流量、文件操作、進程監控等不同類型的事件。

2.主機入侵檢測級別

根據其檢測結果的安全級別，主機入侵檢測可以分為以下幾個級別：

一級警報：通常表示較低的風險，比如一些普通攻擊或者非惡意的行為等。

二級警報：表示較高風險，比如某些特定攻擊或惡意軟件的行為等。

三級警報：表示非常高的風險，例如某些高級網絡攻擊或者系統崩潰等等。

根據不同的安全級別，管理員可以采取相應的響應措施，來及時應對主機入侵和其他安全事件。

3.主機入侵檢測系統檢測對象

（1）進程和線程：該類型檢測通常監控主機上的進程和線程活動，比如檢測是否存在異常進程、異常線程或者進程權限的變化。

（2）事件日志：該類型檢測通常涉及對主機事件日志進行監控，包括登錄成功失敗、文件訪問、網絡連接等事件，通過分析這些事件可以判斷是否存在非法操作或異常行為。

（3）文件和系統配置：該類型檢測主要監控主機上的文件系統和系統配置變化，比如檢測文件的插入和刪除、系統配置的變化以及重要文件是否被篡改。

（4）網絡流量：該類型檢測主要通過監控主機上的網絡流量，判斷是否存在異常的數據包流量或者進行惡意攻擊的流量。

（5）性能和資源消耗：該類型檢測主要是通過監控主機上的性能和資源消耗情況，判斷是否出現異常的資源消耗或性能下降現象，比如CPU利用率、內存使用情況等。

1.6主機入侵檢測系統優缺點

1.優點

實時監控：主機入侵檢測系統可以在實時監控主機的行為，及時發現和響應安全威脅，減少損失。

精度高：主機入侵檢測系統可以通過多種技術來檢測各種類型的威脅，包括惡意軟件、網絡攻擊等，具有較高的檢測準確性。

自主學習：一些先進的主機入侵檢測系統能夠自主學習主機正常操作行為，并建立相應的安全模型，從而提高了檢測效率和準確性。

靈活性：主機入侵檢測系統可以根據不同的企業需求進行定制，提供靈活的部署方式，包括分布式架構和云端部署等。

2.缺點

漏報和誤報：主機入侵檢測系統可能會因為規則集或模型構建不完善而出現漏報或誤報，降低了安全檢測的可信度。

資源消耗：主機入侵檢測系統需要大量的系統資源來運行和存儲數據，可能會影響系統性能和容量。

依賴性：主機入侵檢測系統需要不斷升級和更新才能保持檢測效果，同時也需要根據不同的應用場景來定制規則集和模型，增加了企業的管理成本。

綜上所述，主機入侵檢測系統雖然具有一些優點和特點，但其仍需不斷完善和優化才能更好地適應企業的安全需求。

1.7主機入侵檢測系統的性能指標和技術指標

主機入侵檢測系統的性能指標和技術指標通常包括以下幾個方面：

（1）檢測率：指主機入侵檢測系統在檢測到真實安全事件的能力，即出現安全威脅時系統可以及時發現并報警。該指標反映了系統的檢測能力。

（2）誤報率：指主機入侵檢測系統在未出現真實安全事件時發出警報的比例。該指標反映了系統的準確性。

（3）響應時間：指主機入侵檢測系統從發現安全事件到采取相應措施所花費的時間。該指標反映了系統的響應速度和處置能力。

（4）可擴展性：指主機入侵檢測系統能否根據業務需求進行靈活配置和擴展的能力，如增加新的檢測規則、數據源或采用新的技術手段等。

（5）易用性：指主機入侵檢測系統是否易于配置、管理和維護。該指標反映了系統的用戶友好程度。

（6）抗干擾性：指主機入侵檢測系統在遭受惡意攻擊或其他干擾時的抵御能力，如防止被攻擊者篡改或關閉。

（7）數據處理能力：指主機入侵檢測系統能否高效地處理大量和復雜的數據流，如網絡流量、事件日志等。

在技術指標方面，主機入侵檢測系統需要具備多種技術手段，例如基于規則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數據挖掘等。此外，系統需要支持多種數據源的采集和集成，如日志、網絡流量、配置文件等。同時，系統還需要有良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數據安全和隱私保護。

一些參考的指標值

檢測率：入侵檢測系統應具備較高的攻擊檢測準確率，以盡可能地識別并報告已知和未知的入侵行為。

誤報率：虛警率應保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應時間：入侵檢測系統的響應時間應該越快越好，可以提高保護網絡免受攻擊的能力。一般來說，響應時間應該在幾秒鐘內完成。

系統資源占用率：入侵檢測系統應占用較少的系統資源，以確保不會對其他應用程序或服務產生負面影響。

數據處理速度：入侵檢測系統的數據處理速度應該足夠快，以確保能夠及時分析和報告所有的安全事件

1.8招標參考技術參數

檢測能力：系統應具備較高的攻擊檢測準確率，以盡可能地識別并報告已知和未知的入侵行為。

準確性：系統的虛警率應保持低水平，以確保安全管理員不會被過于頻繁的誤報所困擾。

響應速度：系統在發現安全事件后的響應時間應該越快越好，可以提高保護網絡免受攻擊的能力。一般來說，響應時間應該在幾秒鐘內完成。

可擴展性：系統應該具備良好的可擴展性，能夠根據業務需求進行靈活配置和擴展，如增加新的檢測規則、數據源或采用新的技術手段等。

易用性：系統應該易于配置、管理和維護，反映了系統的用戶友好程度。

抗干擾性：系統應該具備較強的抵御惡意攻擊或其他干擾的能力，如防止被攻擊者篡改或關閉。

數據處理能力：系統應該具備高效地處理大量和復雜的數據流的能力，如網絡流量、事件日志等。

技術手段和數據源支持：系統應該具備多種技術手段，例如基于規則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數據挖掘等；同時還需要支持多種數據源的采集和集成，如日志、網絡流量、配置文件等。

安全機制：系統應該具備良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數據安全和隱私保護。

系統資源占用率：系統應當占用較少的系統資源，以確保不會對其他應用程序或服務產生負面影響。

支持的操作系統: Windows, Linux, MacOS等主流操作系統。

版本更新和維護支持：系統應該提供版本更新和維護支持服務，保障系統的長期穩定運行。

1.9國家標準技術要求

（1）合規性

系統應符合國家相關信息安全技術標準要求。

（2）網絡拓撲支持

系統應支持多種網絡拓撲結構，包括集中式、分布式和混合結構等。

（3）攻擊檢測能力

系統應能夠檢測各種攻擊類型，例如端口掃描、漏洞利用、惡意代碼、DDoS攻擊等。

（4）報警準確率

系統在檢測到真實安全事件時，報警的準確率應高，不能產生虛警。準確率應達到90%以上，虛警率不得超過5%。

（5）響應時間

系統在發現安全事件后的響應時間應該越快越好，可以提高保護網絡免受攻擊的能力。系統響應時間應小于1秒。

（6）數據處理能力

系統應具備高效地處理大量和復雜的數據流的能力，如網絡流量、事件日志等。系統檢測準確率應達到90%以上。

（7）技術手段和數據源支持

系統應具備多種技術手段，例如基于規則的檢測、基于特征的檢測、異常檢測、機器學習、深度學習、數據挖掘等；同時還需要支持多種數據源的采集和集成，如日志、網絡流量、配置文件等。

（8）可擴展性

系統應該具備良好的可擴展性, 具有靈活配置、管理和維護的能力，如增加新的檢測規則、數據源或采用新的技術手段等。系統無法脫離干擾環境工作時的可利用性應大于90%。

（9）易用性

系統應該易于配置、管理和維護，反映了系統的用戶友好程度。系統應支持主流操作系統，如Windows、Linux、MacOS等。

（10）故障恢復能力

系統應具有快速故障定位、恢復和維護的能力，以保證系統長期穩定運行。

（11）安全機制

系統應該具備良好的安全機制，如加密通信、權限控制、授權訪問等，以保障數據安全和隱私保護。

（12）性能指標

系統檢測準確率應達到90%以上，虛警率不得超過5%；系統響應時間應小于1秒；系統無法脫離干擾環境工作時的可利用性應大于90%。

1.10核心能力指標

（1）攻擊檢測能力：主機入侵檢測系統應能夠有效檢測各種攻擊類型，如漏洞利用、木馬攻擊、惡意軟件等，并能夠實現對零日漏洞的發現和防御。

（2）精準度：主機入侵檢測系統應具備較高的精準度，即能夠準確識別并區分合法的應用程序行為和攻擊行為，避免誤報和漏報。

（3）及時性：主機入侵檢測系統應針對入侵事件實現及時響應和預警，快速提供有效的告警和處置措施，減少安全事故損失。

（4）可擴展性：主機入侵檢測系統應具備良好的可擴展性，能夠靈活支持多種操作系統和應用環境，支持基于規則、基于特征、基于行為等多種檢測方式，同時可以結合其他安全設備協同工作。

（5）數據處理能力：主機入侵檢測系統應能夠高效處理和分析大量復雜的數據流，包括系統日志、進程信息、網絡流量、異常行為等。

（6）安全機制：主機入侵檢測系統應采用加密傳輸、權限控制、訪問授權等安全機制，確保數據傳輸和存儲的安全性和完整性。

（7）可視化：主機入侵檢測系統應具備良好的可視化功能，通過圖表、報表、實時監控等方式，直觀展示系統安全狀態和異常情況，提供詳細的分析報告和警報信息。

（8）漏報率和誤報率：主機入侵檢測系統應具備較低的漏報率和誤報率，即盡可能減少未檢測到的攻擊事件，并減少不必要的警報和誤判。

（9）響應能力：主機入侵檢測系統應能夠及時響應和處理安全事件，并提供有效的處理措施，以減小安全風險和損失。

（10）可用性：主機入侵檢測系統應具備高可用性，能夠保障系統長期穩定運行，包括快速故障定位、恢復和維護的能力，確保系統安全輸出。