HID的特点

全面监控

　　安氏的HID不仅监控主机上的用户活动，还监控与该主机相关的网络通信。
　　为了实现这一点，HID提供两种两种协同工作的引擎，日志分析引擎和网络节点入侵检测引擎。日志分析引擎，监控某些活动的核心记录，比如谁正在登录，以及正在访问什么文件和应用程序。这个程序检测到可疑行为的时候会发出报警；网络节点入侵检测引擎监控进出该主机的网络通信，并且检测到攻击行为的时候会发出报警，网络节点入侵检测引擎提供了一条额外的防线，抵御基于网络的攻击行为，使安氏领信入侵检测系统更加完美。 对于存在交换网络、加密数据或者高网络流量的环境，这两个程序的组合尤其具有重要意义。

　　日志分析引擎可以被设定为在批处理方式或者实时方式下运行。在批处理方式下，信息被储存在主机上，以供定期收集；在实时方式下，警告信息被立即发往HID的控制台。 这使得管理员可以实时监控关键事件，同时使用批处理方式收集数据， 供以后的法律调查使用。这个功能赋予管理员一定的灵活性，可调整CPU的运行负荷，提高CPU的运行效率。

脆弱性评估

　　除了监控入侵情况之外，HID还有助于保护系统，它可以识别系统的安全漏洞。HID按照一个高实用性的漏洞库，扫描每个系统，并且报告存在于系统状态、登录配置、驱动器配置、密码、屏幕保护程序、账户和系统配置中的脆弱性。

　　脆弱性评估，可以在每天、每周或者每月一次的基础上，预定其运行的时间，管理员可以选定在每次评估的过程中，对哪些系统进行评估。

简明的集中式策略管理

　　审计策略定义应该监控哪个用户和哪些系统活动，并且将其记录在安全事件日志库中。而检测策略定义HID对事件的响应方式。这两种策略分别适用于IBM AIX、HP-UX、Microsoft Windows NT/2000/XP 和Sun Solaris。HID提供了一些标准的策略模板，审计和检测管理活动、文件浏览、计算机存取访问、黑客企图和其他许多活动。使用默认设置，可以快捷、轻松地采用这些策略，当然，也可以对它们进行修改，符合企业各种不同的需求。
　　HID还可以根据检测策略中定义的威胁，自动创建审计策略，这极大地减少了管理HID策略所需的时间和精力。此外，当修改某个审计或检测策略的时候，HID会自动警告管理员哪些系统受到了影响，同时，新策略可以被自动应用到各个系统中。管理员可以快捷、轻松地更新整个企业的策略，并且保持策略的一致性。

自动审计策略应用

　　无论是添加新文件还是将文件移动到不同的目录，随着文件系统发生变化，审计策略需要重新调整生效。这通常是一件耗费时间的工作，而HID可以定期地对任意数目的被监控系统自动应用新的审计策略。这些新策略生效的周期，可以每天、每周或者每月一次。

历史分析和证据支持

　　事件记录数据被合并存档，用于历史记录和报告。这项数据以其原始格式存储，可以用于证据支持。

对系统资源的微小影响

　　HID在一台专用计算机上执行它的主要检测任务，而不是在受到监控的每个个别系统上，这使得对CPU的占用减少到最低限度。以实时或者批处理方式运行目标引擎的能力，也使管理员能够平衡非关键性的入侵检测要求和网络及CPU的负载水平。

面向大型企业的规模

　　HID适合于任何规模、任何类型的组织机构，可以支持分布式环境中的数百个代理程序 。策略的修改可以快捷、轻松地应用到整个企业，报警和数据可以集中存档和分析。

详尽的报告

　　HID包含全面的报告生成工具， 可以向管理员提供按照用户、 主机、 活动和日期划分的有关活动的详细资料。这些便于阅读的文字和图形报告，详细说明了有关谁在何时作了何事的信息，有助于识别潜在的非法使用情况和已经发生的破坏情况。 HID提供了许多预定义的报告，可以以多种格式将它们输出到屏幕、打印机或者磁盘， 上述格式包括纯文本、Microsoft Word 和HTML。报告可以自动生成，并且可以在每天、每周或者每月一次的基础上预定其生成时间。例如，可以每天自动生成并打印一份报告，或者可以将其存为HTML格式，放在公司局域网上供查阅。