Host-based intrusion detection system

A HIDS – host alapú illetéktelen hálózati behatolást jelző rendszer – egy önálló számítógép tevékenységének a figyelésére szolgál. Az adott számítógépen, hoston futhat levelezőrendszer vagy webszerver, tulajdonképpen lehet bármilyen célra használt önálló számítógép. Lényeg hogy a HIDS csak azzal a géppel foglalkozik ahová telepítették nincs kapcsolata a környezetével.

Az első HIDS-eket egy konkrét számítógép elsősorban mainframe gépek tevékenységének ellenőrzésére készítették. Egy HIDS a naplófájlok (log), az audit bejegyzések és a gép bemenő és kimenő hálózati forgalmát figyeli. A host alapú illetéktelen hálózati behatolást jelző rendszerek tipikusan önálló szoftver termékek. A legutóbbi időben a távfelügyelettel együtt megjelentek hálózatra telepített HIDS-ek is. Ezek a rendszerek jelentős mértékben használják a védett számítógép erőforrásait. A HIDS-ek eredetileg kötegelt üzemmódban működtek ütemezetten, óránként esetleg naponként végezték munkájukat és elsősorban a rendszer naplófajlait analizálták. A processzorok sebességének növekedése lehetővé teszi a valós idejű analízist ezért a modern HIDS-ek már reáltime módon ellenőrzik a naplófájlokat és a ki- és bemenő adatforgalmat is.

• UNIX környezetben a leginkább figyelt naplófájlok: a syslog, a kernel log-ok és az error log-ok.
• WINDOWS környezetben leginkább az Application, a System és a Security log-okat figyeli a HIDS.

Bizonyos gépeken például webszervert futtató gépen a HIDS figyelhet speciális alkalmazások mint az ftp kommunikáció, vagy különböző web szervizek naplófájljait is.

A HIDS a naplófájlok feldolgozásakor a legkülönbözőbb tevékenységek figyelésére alkalmas. A megfigyelt események közül a leggyakoribbak:

• Munkaidőn kívüli belépés a gépbe
• Hibás bejelentkezések, nem megfelelő autentikáció
• Új felhasználó létrehozása, vagy ennek kísérlete
• Megfigyelt, kritikus rendszerfájlokhoz való hozzáférés
• Bináris (végrehajtható) fájlok módosítása, törlése
• Folyamatok (processes) indítása, leállítása
• Jogosultság módosítása
• Kritikus, megfigyelt programok használata

A HIDS-ek működési elve azonos. A szenzorok összegyűjtik a számítógépen keletkezett analizálandó adatokat, és megfelelően szortírozva továbbítják azokat az elemző motorhoz. Az elemző motor a HIDS legfontosabb része ez dönt arról, hogy a megfigyelt tevékenység engedélyezett-e vagy tiltott. Az elemző motorok általában valamilyen mintaillesztéses algoritmussal dolgoznak. Az ehhez szükséges adatok egy úgy nevezett szignatúra adatbázis tartalmazza. Mind a minták, mind a mintaillesztési algoritmusok egyre bonyolultabbak.

• A HIDS maximálisan operációs rendszer orientált, és nagyon részletes szignatúra rendszer kialakítását teszi lehetővé. Ez lehetővé teszi speciális igények kielégítését az általános riasztásokon túl speciális riasztási rendszer felállítását.
• Segítségével csökkenthető a téves pozitív riasztások száma. Lehetőség van a káros tevékenységek analízisének tetszőleges finomítására.
• Biztosítja a feloldott titkosítású adatok ellenőrzését. A NIDS-ek (hálózat orientált behatolás ellenőrző rendszerek) a titkosított hálózati forgalmat ellenőrzik ezzel ellentétben a HIDS-ek a titkosítás feloldását követően a cél számítógépen futnak.
• Segítségével maximálisan alkalmazás orientált ellenőrző rendszert építhetünk. Ismerve a célgép feladatait olyan szignatúra adatbázist alakíthatunk ki amely csak a gép speciális tevékenységét ellenőrzi.
• Meghatározható, hogy egy adott rendszeren a riasztás mikor történjen. Ezzel csökkenthető a riasztások száma. A rendszer figyelembe veheti, a futó szoftver különböző verzióit, az installált javítócsomagokat (patchek), meghatározott fájlok meglétét, vagy hiányát, a különböző rendszerállapotokat,

• A HIDS rendszert a megfigyelt hálózat minden gépére fel kell installálni'.
• Egy HIDS rendszer üzemeltetése költségigényes. Az installálása és karbantartása jelentős munkaerőt köt le. A viszonylag ritka a távolról üzemeltető rendszer, a rendszergazdáknak minden gépen külön külön kell karbantartaniuk.
• Jelentős a helyi erőforrásigénye. Minden egyes védett gépen a futó HIDS memória és CPU használati igénnyel lép fel.
• Nem jelzi a hálózat elleni támadásokat kizárólag azt a gépet figyeli ahová felinstallálták.
• A HIDS riasztásait és naplófájljait, mivel azok a lokálisan, magán a védett gépen keletkeznek és tárolódnak, viszonylag könnyű korrumpálni, vagy törölni.

• Schubert Tamás: Hálózati szolgáltatások tervezése és működtetése (magyar nyelven). Óbudai Egyetem, 2011. (Hozzáférés: 2012. március 6.)^{[halott link]}
• OSSEC, egy nyílt forráskódú Host-based Intrusion Detection System (angol nyelven). Trend micro, 2011. [2012. március 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. március 7.)