个人电脑IDS (Mac)

Question

我正在阅读Nmap安全扫描的书，它提到服务器通常安装了入侵检测系统。据我所知，当有可疑活动时，这些系统会提醒服务器管理员。

我感兴趣的是为我的个人电脑安装一个IDS，一台Macbook。我不太担心任何安全威胁。我只想看看这种软件的功能。

在个人电脑上安装入侵检测系统有多有用？有没有更好的选择？

Answer 1

你真正要寻找的是启发式行为扫描。

IDS正在寻找网络流量的非标准行为或已知入侵的标准行为。

您确实可以得到一些智能的反恶意软件客户端，对客户端执行启发式操作。寻找提供零日保护的客户端软件。

当然，企业IDS系统的规模非常不同，并且正在寻找更大的模式。尽管如此，他们仍将试图发现恶意软件，如打电话回家指挥和控制系统，以及探测网络攻击。

Answer 2

我不认为以服务器为目的的HIDS系统(如OSSEC)是笔记本电脑或其他通用计算机的好选择。当今时代的服务器是非常专门化的，而且HIDS依赖于这一点。它知道文件应该在哪里创建或修改，哪些进程应该运行，哪些进程不应该运行。本质上，计算机上有一个允许发生的事情的白列表，该列表之外的任何内容都是警报。

个人计算机保护的术语是“端点保护”，包括传统的防病毒技术。他们使用黑名单，主要是已知的签名，已知的不良行为。对于端点来说，这是一个困难得多的问题，因为用户希望运行任意程序并做任意的事情--如何区分用户希望运行的安装程序和通过电子邮件中的附件意外运行的安装程序？在编译器和自修改病毒之间？有很多问题。

在个人电脑上运行HIDS会很烦人--在许多低成本/廉价的linux主机上尝试一下吧。

Answer 3

Nmap没有自己的入侵检测系统，而是在Nmap中设置了几个特性来绕过IDS，如碎片、诱饵等。有关更多信息，您可以查看这里。