Linux 系統下的入侵檢測系統為何現在好像沒多少人搞？

12-19

是因為系統消耗過大嗎？
還是因為無法進行有效判斷？
題主的大創項目就是這方向的，希望有人能指點一下，大概看了一下以前的一些東西，包括謝華剛博士的lids系統和一些其他的產品．
可是項目大多是十多年前的了，為何如今沒落了？（或者沒落這個詞不準確？）

阿里云云盾的安騎士就在搞，覆蓋量還很大，今年將進一步產品化。

這個領域空間很大，關鍵是切入點、穩定性、兼容性都要做好。以往不火主要是windows伺服器佔有量比較大，linux又主要是開源陣營，商業化比較困難。再加上主機層面的病毒不像windows那麼多。

現在時代已經變了。

問題中提到了 LIDS，那麼所說的 IDS 想必是指 HIDS 而非 NIDS。

雖然從理論上說，HIDS 是所有單一安全產品中能實現最多防護功能的，但由於 Linux 主要被用作伺服器，而對伺服器而言，一來從性能和穩定性的角度會比較忌憚 HIDS 這種東西；二來系統使用者安全技術和意識相對較好，環境相對易控，安全上相對好處理一些，對 HIDS 的需求沒那麼強烈。還有發行版本眾多等其它原因，但前面這兩點是最主要的。

所以，HIDS 技術實際上不是 Linux 下沒多少人搞，而是所有伺服器操作系統上都沒多少人搞。

在 Windows 上，主機安全軟體則幾乎都使用了某種意義上的 HIDS 技術。因為 Windows 主要被用作終端，用戶平均安全能力較弱，環境複雜，面臨的安全風險較多。得益於這一點，開發 Windows 客戶端安全軟體的廠家也往往也會順便開發伺服器端版本。

不過，安全技術是隨安全形勢而發展的。隨著這幾年安全對抗形勢的升級，以及雲計算產業的發展，Linux 上的輕量級類 HIDS 技術還是會有一定市場的，但可能主要是雲廠商自研自用，搞獨立商業產品可能還是比較艱難。

目前業內做的比較好的應該是騰訊那套，只不過那不是傳統意義上的HIDS

有啊，騰訊的伺服器上有自研的HIDS，主要功能包括黑客入侵行為發現、伺服器安全漏洞檢測與加固、伺服器基礎信息收集

snort已經是業界標準了，還搞什麼搞？
除非理論上出現什麼重大突破，unix上的大多數軟體經過幾十年的開源開發，已經足夠成熟和完美。不再像活躍開發的那個年代一樣，吸引那麼多投資和就業。
但是任何技術只有被開源開發成熟之後，才能成為人類文明下一步的階梯。
而不像某私有軟體的公司，無法維護多年前的軟體～～只能不斷用兼容模式運行以前的版本，或者不停的重新造輪子。

我覺得這問題可以理解為snort之後為什麼沒有新的IDS出現。

大家注意到了近年來傳統IDS是一年不如一年，原因無非是兩點，規則內容和匹配準確性。
黑客技術發展到今天，如果不是我過於孤陋寡聞的話，基於操作系統、系統應用、SMB等二進位的入侵手段真的越來越少出現（APT中），而傳統IDS更多是對於這些手段的防禦，導致了每次參與應急響應和取證項目看IDS日誌都是我最為頭疼的一件事，沒有之一。數以萬計的SMB欺騙、異常埠、ARP攻擊看得頭都大了，IDS似乎變成了一個內網查蠕蟲的工具。

現在我們越來越少需要傳統IDS的功能，所以基於linux的這類項目做的人就越來越少，反而是基於中間件的WAF出現的越來越多，NGINX、APACHE甚至IIS都有相關的產品出現，可以預見的未來WAF類的項目會越來越多。

如果樓主說的是HIDS，那隻不過是最近開源的不多，開發的人還是不在少數的，包括教主說的雲服務商和一部分自主運維的廠商。

------------------------------------------------------------------
歡迎關注個人微信公眾號
『』黑客與精釀『』
每天更新，歡迎鼓勵

Suricata - http://suricata-ids.org

雖然題主問的似乎是一個技術問題，但畢竟是產品還是要從需求方面去看，而不是技術角度。前面tk提到的第二點應該是主要原因。前面有人提到騰訊的情況，這邊對hids類產品是剛需。

Snort 不算？

多少學院派和安全公司產品都是 Snort 改的