一、HIDS简介
主机型入侵检测系统(Host-based Intrusion Detection System 简称:HIDS);HIDS作为主机的监视器和分析器,主要是专注于主机系统内部(监视系统全部或部分的动态的行为以及整个系统的状态)。
HIDS使用传统的C/S架构,只需要在监测端安装agent即可,且使用用户无感知,不影响现有的业务内容和用户使用,实现本地的安全监测(agent是实时反馈、误报率低,可快速检测到异常行为)。
| 对比指标名称 | HIDS | EDR |
| 面向对象 | 面向主机(服务器)为主 | 面向终端(PC)为主 |
| 功能侧重点 | 侧重入侵行为检测 | 侧重入侵行为检测与响应一体 |
| 资源占用情况 | 低 | 高 |
| 系统入侵性 | 低 | 中 |
| 维护难度 | 中 | 中 |
| 安全性 | 高 | 高 |
二、Elkeid社区版的实操安装部署流程
Elkeid/elkeidup/deploy-zh_CN.md at main · bytedance/Elkeid
https://github.com/bytedance/Elkeid/blob/main/elkeidup/deploy-zh_CN.md
Elkeid/elkeidup/configuration-zh_CN.md at main · bytedance/Elkeidhttps://github.com/bytedance/Elkeid/blob/main/elkeidup/configuration-zh_CN.md
2.1、Elkeid简介
Elkeid 是一种开源解决方案,可以满足主机、容器和 K8s 等各种工作负载以及 server 的安全需求。它源自字节跳动的内部最佳实践。
| 序号 | Elkeid功能说明 |
| 1 | Elkeid 不仅具有传统的 HIDS(Host Intrusion Detection System)主机层入侵检测和恶意文件识别能力 |
—实现界面内切换语言:activate())
)
)
iptables设置防火墙策略常用命令(docker环境、非docker环境))
)
:函数式编程)
