Linux 系統下的入侵檢測系統為何現在好像沒多少人搞?

是因為系統消耗過大嗎?
還是因為無法進行有效判斷?
題主的大創項目就是這方向的,希望有人能指點一下,大概看了一下以前的一些東西,包括謝華剛博士的lids系統和一些其他的產品.
可是項目大多是十多年前的了,為何如今沒落了?(或者沒落這個詞不準確?)


阿里云云盾的安騎士就在搞,覆蓋量還很大,今年將進一步產品化。

這個領域空間很大,關鍵是切入點、穩定性、兼容性都要做好。以往不火主要是windows伺服器佔有量比較大,linux又主要是開源陣營,商業化比較困難。再加上主機層面的病毒不像windows那麼多。

現在時代已經變了。


問題中提到了 LIDS,那麼所說的 IDS 想必是指 HIDS 而非 NIDS。

雖然從理論上說,HIDS 是所有單一安全產品中能實現最多防護功能的,但由於 Linux 主要被用作伺服器,而對伺服器而言,一來從性能和穩定性的角度會比較忌憚 HIDS 這種東西;二來系統使用者安全技術和意識相對較好,環境相對易控,安全上相對好處理一些,對 HIDS 的需求沒那麼強烈。還有發行版本眾多等其它原因,但前面這兩點是最主要的。

所以,HIDS 技術實際上不是 Linux 下沒多少人搞,而是所有伺服器操作系統上都沒多少人搞。

在 Windows 上,主機安全軟體則幾乎都使用了某種意義上的 HIDS 技術。因為 Windows 主要被用作終端,用戶平均安全能力較弱,環境複雜,面臨的安全風險較多。得益於這一點,開發 Windows 客戶端安全軟體的廠家也往往也會順便開發伺服器端版本。

不過,安全技術是隨安全形勢而發展的。隨著這幾年安全對抗形勢的升級,以及雲計算產業的發展,Linux 上的輕量級類 HIDS 技術還是會有一定市場的,但可能主要是雲廠商自研自用,搞獨立商業產品可能還是比較艱難。


目前業內做的比較好的應該是騰訊那套,只不過那不是傳統意義上的HIDS


有啊,騰訊的伺服器上有自研的HIDS,主要功能包括黑客入侵行為發現、伺服器安全漏洞檢測與加固、伺服器基礎信息收集


snort已經是業界標準了,還搞什麼搞?
除非理論上出現什麼重大突破,unix上的大多數軟體經過幾十年的開源開發,已經足夠成熟和完美。不再像活躍開發的那個年代一樣,吸引那麼多投資和就業。
但是任何技術只有被開源開發成熟之後,才能成為人類文明下一步的階梯。
而不像某私有軟體的公司,無法維護多年前的軟體~~只能不斷用兼容模式運行以前的版本,或者不停的重新造輪子。


我覺得這問題可以理解為snort之後為什麼沒有新的IDS出現。

大家注意到了近年來傳統IDS是一年不如一年,原因無非是兩點,規則內容和匹配準確性。
黑客技術發展到今天,如果不是我過於孤陋寡聞的話,基於操作系統、系統應用、SMB等二進位的入侵手段真的越來越少出現(APT中),而傳統IDS更多是對於這些手段的防禦,導致了每次參與應急響應和取證項目看IDS日誌都是我最為頭疼的一件事,沒有之一。數以萬計的SMB欺騙、異常埠、ARP攻擊看得頭都大了,IDS似乎變成了一個內網查蠕蟲的工具。

現在我們越來越少需要傳統IDS的功能,所以基於linux的這類項目做的人就越來越少,反而是基於中間件的WAF出現的越來越多,NGINX、APACHE甚至IIS都有相關的產品出現,可以預見的未來WAF類的項目會越來越多。

如果樓主說的是HIDS,那隻不過是最近開源的不多,開發的人還是不在少數的,包括教主說的雲服務商和一部分自主運維的廠商。

------------------------------------------------------------------
歡迎關注個人微信公眾號
『』黑客與精釀『』
每天更新,歡迎鼓勵


Suricata - http://suricata-ids.org


雖然題主問的似乎是一個技術問題,但畢竟是產品還是要從需求方面去看,而不是技術角度。前面tk提到的第二點應該是主要原因。前面有人提到騰訊的情況,這邊對hids類產品是剛需。


Snort 不算?

多少學院派和安全公司產品都是 Snort 改的


推薦閱讀:

安全領域的 CTF (Capture the Flag) 競賽是怎麼組織?怎麼進行的?
安全團隊的 CTF 得分能代表哪方面的實力水平?
某國公安偵查到該國IM上一則關於搶劫的聊天信息,現實技術上是如何實現的?
Linux 有所謂「天生安全基因」嗎,整體安全性設計是否更優秀?

TAG:Linux | 網路安全 | 信息安全 | 網路入侵 | IDS入侵檢測系統 |