《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —1.3.7　入侵检测

1.3.7　入侵检测

在入侵发生后，如果没有有效的入侵检测系统（Intrusion Detection System，IDS）的支持，我们的系统可能会长时间***客利用而无法察觉，从而导致业务长期受到威胁。例如，在2018年9月，某知名国际酒店集团被曝出发现约5亿名预定客户信息发生泄露，但经过严密审查发现，其实自2014年以来，该集团数据库就已经持续地遭到了未授权的访问。该事件充分证明了建设有效入侵检测系统的必要性和急迫性。

按照部署的位置，入侵检测系统一般可以分为网络入侵检测系统和主机入侵检测系统。

网络入侵检测系统部署在网络边界，分析网络流量，识别出入侵行为。

主机入侵检测系统部署在服务器上，通过分析文件完整性、网络连接活动、进程行为、日志字符串匹配、文件特征等，识别出是否正在发生入侵行为，或者判断出是否已经发生入侵行为。

本书第11～13章将详细介绍入侵检测相关技术和实践。