在 [Day06] 入侵偵測系統 IDS：資訊安全的守護者中，有跟大家介紹幾種常見的 IDS。

而這篇主要來好好介紹其中的主機型入侵偵測系統（HIDS,Host-based IDS）。

本篇大綱
一、從硬體架構看兩大類 HIDS
二、HIDS 的功能
三、HIDS 在防火牆上要執行的工作
四、HIDS 在伺服器上要執行的工作

一、從硬體架構看兩大類 HIDS

• HIDS（主機型入侵偵測系統,Host-based IDS），顧名思義，偵測點位於主機本身。

• 常見的主機型入侵偵測系統又分為：

  • 防禦設備（如：防禦主機、防火牆）。
  • 應用系統（如：伺服器）。

以下可以從硬體架構看兩大類 HIDS：

HIDS 的位置就像是現實生活中的警衛室、警察局，我們可以在定點找到。

延伸閱讀：

1. 主機型入侵偵測系統（HIDS,Host-based IDS）
2. 網路型入侵偵測系統（NIDS,Network-based IDS）
3. 誘捕型防禦系統（DDS,Deception Defense System）

二、HIDS 的功能

1. 監控著系統中特定的活動。
2. 確認攻擊是否成功。
3. 偵測加密封包。
4. 偵測交換網路環境中的攻擊。
5. 使用時，不需要新增額外硬體。

三、HIDS 在防火牆上要執行的工作

1. 定時於在埠口（TCP/UDP）進行後門（Backdoor）偵測。

   延伸閱讀：後門程式攻擊是什麼？

2. 偵測是否有網路阻斷發生。

   • 常見的網路阻斷：
     • 阻斷攻擊。
     • 服務過載。
     • 訊息洪流。

   SYN flood（又稱：SYN 洪水）是一種阻斷服務攻擊。目的是希望透過消耗所有可用的伺服器資源，讓伺服器無法在被用於合法的流量上，使得原本想被傳送的資料必須透過重複傳送初始連線要求 (SYN) 封包，而攻擊者就能淹沒目標伺服器上所有可用的連接埠，讓此目標裝置緩慢或完全不回應合法流量。

四、HIDS 在伺服器上要執行的工作

1. 偵測 Log，判斷是否有入侵者

   • 許多系統（如：Unix）會將使用者的操作指令、異常登入和存取等活動記錄在 Log 中。而 IDS 的主要功能是將這些 Log 中的資料轉換成資料庫的格式，再進一步深入分析，以追蹤潛在的駭客行為，算是蠻有效且全面的入侵偵測技術。
   • 一般情況下，操作系統處於高度繁忙的狀態，這導致了大量的 Log 數據生成。因此，要從這些龐大的數據中識別可疑的活動並不是一項簡單的任務。現今的入侵偵測系統通常採用資料探勘技術，這種技術能夠從龐大的資料集中提取所需的訊息，有助於發現潛在的安全風險和駭客行為。

2. 安全稽核

   • 將較高敏感的資源設定為警告，若有人存取這些資源，或試圖越權變更，可以將其記錄下來，並從中找尋可疑份子。
   • 一般 Windows 事件記錄的內容會包含：日期、時間、使用者名稱、發生事件所在的電腦名稱、事件 ID、產生事件的來源、型態、類別（指出該稽核事件是否已被啟動）。

今天就先這樣～
最近實驗室好忙碌QQ
默默將 IT 鐵人當成休閒(?