主机安全产品调研对比

主机基础入侵检测系统（HIDS）

1. 概念

主机基础入侵检测系统 (HIDS) 是一种安全技术，用于在主机操作系统内部检测潜在的恶意活动。它通常不对网络流量进行监控，而是专注于监视和分析主机系统的操作，生成警告或事件日志记录，供安全团队分析排查。

2. 原理及体系结构

在被重点检测的主机上运行一个代理程序，该代理程序根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断，并把警报信息发送给控制端程序，由管理员集中管理。代理程序还需定期给控制端发出信号，以确保其工作正常。不同应用范围（个人、企业、政府、电信等）对主机入侵检测的要求不同。

3. 优点

• 性价比高：在主机数量较少的情况下，性价比可能更高。
• 更加细致：可以监测对敏感文件、目录、程序或端口的存取等活动，这些活动在基于协议的线索中很难被发现。
• 视野集中：一旦入侵者得到主机的用户名和口令，基于主机的代理最有可能区分正常活动和非法活动。

  终端检测与响应（EDR）

  1. 概念

  终端检测与响应 (EDR) 是一种针对计算机终端设备的安全技术，通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的安全威胁，并进行自动化的阻止、取证、补救和溯源，从而有效对端点进行防护。

  2. 工作原理

• 检测：安装EDR技术后，使用先进算法分析系统上单个用户的行为，记住和连接他们的活动。
• 调查：感知到用户的异常行为时，过滤、丰富和监控数据，触发警报并确定攻击的真假。
• 关联跟踪：如果检测到恶意活动，跟踪攻击路径并构建回入口点。
• 可视化：将所有数据点合并到称为恶意操作 (MalOps) 的窄类别中，便于分析人员查看。
• 处理：发生真正的攻击事件时，通知客户并提供响应步骤和建议；如果是误报，则关闭警报，只增加调查记录。

  3. 优势

• 主动防护：不同于传统的端点被动防护思路，能主动发现潜在的未知威胁。
• 全生命周期防护：贯穿安全威胁事件的整个生命周期，包括事前监控/加固、事中检测/分析/响应、事后追溯。
• 应对复杂威胁：对于当下APT、0day、无文件攻击等复杂威胁能够起到较好的防御作用。

  端点防护平台（EPP）

  1. 概念

  端点防护平台 (EPP) 旨在提供终端设备的全面保护，包括预防、检测和响应。它通常包括实时监视终端设备和网络通信，检测异常或恶意行为（如恶意软件、网络攻击和数据泄露等），提供实时警报和响应以快速缓解安全事件，收集、存储和分析终端设备上的日志和事件以便进行后续调查和分析。

  2. 与EDR的区别

  传统EPP产品侧重点是“防御”，主要是识别和阻断已知威胁；而EDR产品侧重点是“检测”和“反应”，以端点为基础收集更多信息，结合大数据和机器学习技术发现潜在的未知威胁，并作出响应。

主机杀毒

1. 概念

主机杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。它通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能，有的还带有数据恢复、防范黑客入侵、网络流量控制等功能。

2. 软件技术

• 脱壳技术：对压缩文件、加壳文件、加花文件、封装类文件进行分析。
• 自我保护技术：防止病毒结束杀毒软件进程或篡改杀毒软件文件，有单进程自我保护和多进程自我保护两种方式。
• 修复技术：对被病毒损坏的文件进行修复。
• 实时升级技术：连接互联网时自动连接升级服务器查询升级信息，需要则进行升级。
• 主动防御技术：通过动态仿真反病毒专家系统对各种程序动作进行自动监视和分析，自动判定病毒。
• 启发技术：在原有的特征值识别技术基础上，根据反编译后程序代码所调用的win32API函数情况判断程序是否为病毒、恶意软件。
• 智能技术：采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫大部分的变种病毒。

  3. 改进方向

• 智能识别未知病毒：更好地发现未知病毒。
• 快速彻底清除病毒：发现病毒后能够快速、彻底地清除。
• 增强自我保护功能：防止病毒屏蔽杀毒软件进程。
• 降低系统资源占用：减少对内存资源、CPU资源的占用。

二、各主机安全技术的横向对比

综上所述，不同的主机安全技术在功能、适用场景、优势和局限性等方面存在差异。企业在选择主机安全产品时，应根据自身的业务需求、网络环境和安全目标等因素，综合考虑并选择合适的安全技术和产品，以构建全面、有效的主机安全防护体系。