入侵检测 ======================================== 常见入侵点 ---------------------------------------- - Web入侵 - 高危服务入侵 常见实现 ---------------------------------------- 客户端监控 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ - 监控敏感配置文件 - 常用命令ELF文件完整性监控 - ``ps`` - ``lsof`` - ... - rootkit监控 - 资源使用报警 - 内存使用率 - CPU使用率 - IO使用率 - 网络使用率 - 新出现进程监控 - 基于inotify的文件监控 网络检测 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 基于网络层面的攻击向量做检测,如Snort等。 日志分析 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台,在后台中对各类日志进行综合的分析。 参考链接 ---------------------------------------- - `企业安全建设之HIDS `_ - `大型互联网企业入侵检测实战总结 `_ - `同程入侵检测系统 `_ - `Web日志安全分析系统实践 `_ - `Web日志安全分析浅谈 `_