1.3.7　入侵检测

在入侵发生后，如果没有有效的入侵检测系统（Intrusion Detection System，IDS）的支持，我们的系统可能会长时间被黑客利用而无法察觉，从而导致业务长期受到威胁。例如，在2018年9月，某知名国际酒店集团被曝出发现约5亿名预定客户信息发生泄露，但经过严密审查发现，其实自2014年以来，该集团数据库就已经持续地遭到了未授权的访问^[1]。该事件充分证明了建设有效入侵检测系统的必要性和急迫性。

按照部署的位置，入侵检测系统一般可以分为网络入侵检测系统和主机入侵检测系统。

·网络入侵检测系统部署在网络边界，分析网络流量，识别出入侵行为。

·主机入侵检测系统部署在服务器上，通过分析文件完整性、网络连接活动、进程行为、日志字符串匹配、文件特征等，识别出是否正在发生入侵行为，或者判断出是否已经发生入侵行为。

本书第11～13章将详细介绍入侵检测相关技术和实践。

[1] https://answers.kroll.com/，访问日期：2018年12月31日。