1、什麼是HIDS

HIDS （Host-based Intrusion Detection System）基於主機的入侵檢測系統，區別於NIDS（基於網路的入侵檢測系統），HIDS專注於系統內部，監測系統的動態行為以及整個系統的狀態。

HIDS將探頭（代理）安裝在受保衛系統中，它要求與作業系統核心和服務緊密捆綁在一起，監控各種系統事件，如對核心或API的呼叫，以此來防禦攻擊並對這些事件執行日誌；還可以監測特定的系統檔案和可執行檔案呼叫，以及Windows 下的安全記錄和Unix環境下的系統記錄。對於特別設定的關鍵檔案和資料夾也可以執行適時輪詢的監控。

HIDS能對檢測的入侵行為、事件給予積極的反應，比如斷開連線、封掉使用者賬號、殺死程序、提交警報等等。如果某使用者在系統中植入了一個未知的木馬病毒，可能所有的殺病毒軟體、IDS等等的病毒庫、攻擊庫中都沒有記載，但只要這個木馬程式開始工作，如提升使用者許可權、非法修改系統檔案、呼叫被監控檔案和資料夾等，就會立即被HIDS的發覺，並採取殺死程序、封掉賬號，甚至斷開網路連線。現在的某些HIDS甚至吸取了部分網管、訪問控制等方面的技能，能夠很好地與系統，甚至系統上的運用緊密結合。

IDS基本流程：收集資訊 -> 分析資訊 -> 給出結論 -> 做出反應

2、缺陷

由於HIDS 需要直接安裝在主機上，所以需要重點關注以下兩點：

• 對主機效能的影響：HIDS agent 需要佔用盡量少的資源來完成儘量完整的監控；如果主機效能由於agent導致明顯下降，這是得不償失的
• 對主機穩定性影響：應用於伺服器必然會涉及到相容性問題，需要針對各種不通核心的機器都做好相容性處理。如果是針對個人PC還好，重啟一下損失不會很大，但是如果agent位於關鍵伺服器上，伺服器宕機一次，損失可能不可估量。

3、前景

由於HIDS不像NIDS有許多可以資料化的技能指標，而且又要在被監控的主機上安裝探頭（代理），使得運用對它都有一定的擔憂。所以對於系統穩定性比較高的一些行業像銀行、電信等對其運用 ，都非常謹慎。而對於國防、軍工、機要保密等領域，對系統的安全、特別是資訊保安要求比較高，而對系統的穩定性不是太敏感，而且更關注來自內部的攻擊（一般這些領域的資訊系統是不與公網相連的），所以對HIDS的運用比較容易接受，反而NIDS不是很看重。

在2021年這個時間，很多大型網際網路企業，內網中已經開始部署自研 HIDS 了，如騰訊，美團等。騰訊的自研HIDS，主要功能包括黑客入侵行為發現、伺服器安全漏洞檢測與加固、伺服器基礎資訊收集等。


美團技術論壇也有相關的帖子：保障IDC安全：分散式HIDS叢集架構設計


隨著這幾年雲端計算產業的發展，Linux 上的輕量級類 HIDS 技術還是會有一定市場的，主要是雲廠商自研自用，搞獨立商業產品前景不明朗。