一、资源占用问题

采用轻易级的主机探机agent，对主机的CPU和内存消耗极少，不影响主机的正常业务运行
Agent只负责数据的收集和上报，大部分的数据分析工作都是在服务端完成，因此Agent几乎不占用资源，平峰时一般消耗不会超过单核1% CPU及30M内存，同时也通过代码限制最大的门限值为单核10% CPU。

二、入侵检测的扫描频率

侵检测中的异常登录、文件完整性、可疑帐号、病毒木马、异常进程是实时检测的（病毒木马也可支持配置定时检测），风险发现中的紧急风险、安全漏洞、安全基线可以配置定时检测周期。

三、HIDS与传统方案的对比

1.侧重点不同
传统的防火墙是基于网络边界的安全产品，而HIDS是基于主机的安全产品，二者在安全纵深防御体系中针对的是2个不同的范畴；
2.底层形态不同
防火墙多以硬件的形态，HIDS则提供的是软件形态；
3.防御手段不同
防火墙等是基于已知的规则进行防御，对于加密流量无法解密；HIDS作为主机层面的防护，入侵行为相对归一，可以基于规则引擎和AI引擎进行分析和检测，同时结合威胁情报，检测效率和准确性更高；
4.能力不同
防火墙更强调防御和行为管控，而HIDS则强调安全检测及相应；

四、病毒木马，可疑账号以及弱口令等的检测规则

病毒木马检测分为两种，二进制病毒检测和网页后门检测。
1.二进制病毒检测
针对二进制病毒检测，在主机上有规则引擎，在云端有病毒特征库，病毒特征库跟多家知名威胁情报厂商进行交换和合作。
2.网页后门检测
针对网页后门检测，在主机上有规则引擎，云端有AI引擎，两者相互验证。
可疑账号可以识别UID为0非root帐号、影子帐号、无密码执行sudo、UID重复、定时后门帐号、home目录任意读写、用户名重复等帐号。