主机型入侵检测系统(HIDS)——Elkeid在Centos7的保姆级安装部署教程

扫测资讯 2024-11-18 12:07   12 0

一、HIDS简介

主机型入侵检测系统(Host-based Intrusion Detection System 简称:HIDS);HIDS作为主机的监视器和分析器,主要是专注于主机系统内部(监视系统全部或部分的动态的行为以及整个系统的状态)

HIDS使用传统的C/S架构,只需要在监测端安装agent即可 ,且使用用户无感知,不影响现有的业务内容和用户使用,实现本地的安全监测(agent是实时反馈、误报率低,可快速检测到异常行为)。

HIDS与EDR对比
对比指标名称 HIDS EDR
面向对象 面向主机(服务器)为主

面向终端(PC)为主

功能侧重点 侧重入侵行为检测 侧重入侵行为检测与响应一体
资源占用情况
系统入侵性
维护难度
安全性

二、Elkeid社区版的实操安装部署流程

Elkeid/elkeidup/deploy-zh_CN.md at main · bytedance/Elkeid https://github.com/bytedance/Elkeid/blob/main/elkeidup/deploy-zh_CN.md

Elkeid/elkeidup/configuration-zh_CN.md at main · bytedance/Elkeid https://github.com/bytedance/Elkeid/blob/main/elkeidup/configuration-zh_CN.md

2.1、Elkeid简介

Elkeid 是一种开源解决方案,可以满足 主机、容器和 K8s 等各种工作负载以及 server 的安全需求。它源自字节跳动的内部最佳实践。

Elkeid关键功能说明
序号 Elkeid功能说明
1 Elkeid 不仅具有传统的 HIDS(Host Intrusion Detection System) 主机层入侵检测和恶意文件识别能力