3.3.2 主机入侵检测系统（HIDS）

1．HIDS逻辑架构

HIDS的逻辑架构如图3.13所示，它采用经典的CS架构模式，分为Agent和服务器两部分。

❍ Agent安装在VM上面，负责收集数据以及执行任务。

❍ 服务器分为多个模块：Conn、标准化中心、分析引擎、心跳svr、配置svr、任务svr以及文件svr。

➢ Conn：进行负载均衡。

➢ 标准化中心：负责各种数据的格式化工作。

➢ 分析引擎：对数据进行安全性分析，将分析结果写入DB。

➢ 心跳svr：检查Agent和服务器之间的连接有效性。

➢ 配置svr：下发配置给Agent。

➢ 任务svr：下发各种任务给Agent。

➢ 文件svr：存放安装包、任务文件。

2．HIDS的工作机制

HIDS包括WebShell/恶意进程检测、登录审计及暴力破解检测、基线检查检测3个功能模块。

❍ WebShell/恶意进程的检测

Agent实时或者定时收集登录信息、进程信息、Web服务、数据库服务等各种日志信息，并上传到后端系统。数据经过标准化服务器格式化后成为能够满足分析引擎所需要的数据格式。分析引擎采用多线程的模式接收到数据后，通过木马检测模块实时分析每一条数据，最终将结果写入DB。分析引擎拥有丰富的规则库，现有1000条以上的规则，支持多种WebShell/恶意进程的检测。

❍ 登录审计以及暴力破解检测

Agent将系统登录信息实时上报给后端系统，然后对数据进行格式化，再通过分析引擎登录安全分析模块实时分析每条登录信息，将结果写入DB。

❍ 基线检查检测

通过任务svr定时或实时地下发检查任务给Agent, Agent把检查结果上报给后端并写入DB。