《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —1.3.7 入侵检测
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第1章,第1.3.7节,作者是胥峰。
1.3.7 入侵检测
在入侵发生后,如果没有有效的入侵检测系统(Intrusion Detection System,IDS)的支持,我们的系统可能会长时间***客利用而无法察觉,从而导致业务长期受到威胁。例如,在2018年9月,某知名国际酒店集团被曝出发现约5亿名预定客户信息发生泄露,但经过严密审查发现,其实自2014年以来,该集团数据库就已经持续地遭到了未授权的访问。该事件充分证明了建设有效入侵检测系统的必要性和急迫性。
按照部署的位置,入侵检测系统一般可以分为网络入侵检测系统和主机入侵检测系统。
网络入侵检测系统部署在网络边界,分析网络流量,识别出入侵行为。
主机入侵检测系统部署在服务器上,通过分析文件完整性、网络连接活动、进程行为、日志字符串匹配、文件特征等,识别出是否正在发生入侵行为,或者判断出是否已经发生入侵行为。
本书第11~13章将详细介绍入侵检测相关技术和实践。
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)