6.1基于主机的入侵检测系统

基于主机的入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。如果一个网络数据包已经到达它要试图进入的主机，要想准确地检测出来并进行阻止，除防火墙和网络监视器外，还可用第三道防线来阻止，即“基于主机的入侵检测”，其入侵检测结构如右图所示。

2种基于主机的入侵检测类型如下。

基于主机的入侵检测结构

·网络监视器。它监视进来的主机的网络连接，并试图判断这些连接是否是一个威胁。并可检查出网络连接表达的一些试图进行的入侵类型。记住，这与基于网络的入侵检测不同，因为它只监视它所运行的主机上的网络通信，而不是通过网络的所有通信。基于此种原因，它不需要网络接口处于混杂模式。

·主机监视器。它监视文件、文件系统、日志或主机其他部分，查找特定类型的活动，进而判断是否是一个入侵企图（或一个成功的入侵）之后，通知系统管理员。

1.监视进来的连接

在数据包到达主机系统的网络层之前，检查试图访问主机的数据包是可以的。这种机制试图在到达的数据包能够对主机造成破坏之前，截获该数据包而保护该主机。

可以采取的活动主要如下。

·检测试图与未授权的TCP或UDP端口进行的连接。如果试图连接没有服务的端口，这通常表明入侵者在搜索查找漏洞。

·检测进来的端口扫描。再一次，这是个一定要对付的问题，并给防火墙发警告或修改本地的IP配置以拒绝从可能的入侵者主机来的访问。

可以执行这种监视类型的2种软件产品分别是ISS公司的Rea