Skip to content

主机入侵检测 HIDS

定位:部署在主机上的入侵检测(HIDS),通过文件完整性、进程、日志与异常行为监控,守住工作负载运行的那台机器。

解决什么问题

身份体系保证"服务是谁",但服务终究跑在主机上——主机一旦被提权、被植入后门或被篡改,合法身份也可能被恶意利用。缺乏主机层检测时,入侵往往在"合法凭据"的掩护下长期潜伏。HIDS 把主机自身的异常变化变得可见、可告警。

关键能力

  • 文件完整性监控(FIM):监控关键文件、二进制与配置的改动,篡改即告警。
  • 进程与行为检测:识别可疑进程、提权、异常父子进程链与横向移动迹象。
  • 日志分析:采集并分析系统 / 认证 / 审计日志,发现暴力破解、异常登录等。
  • 异常行为基线:为主机行为建立基线,偏离基线时预警。
  • 联动响应:与情报、身份体系联动,命中后可隔离主机或收回其身份凭据。

与 SPIFFE 的协同

SPIFFE 保障工作负载身份可信,HIDS 保障承载它的主机可信,两层互为托底:主机被控时 HIDS 及时发现,而 SVID 的短生命周期让被冒用的身份在很短时间内即可撤销与轮换。主机可信 + 工作负载身份双层叠加,任一层告警都能触发对另一层的收敛处置。

了解更多

试用与合作请联系我们