1.3.7　入侵檢測

在入侵發生后，如果沒有有效的入侵檢測系統（Intrusion Detection System，IDS）的支持，我們的系統可能會長時間被黑客利用而無法察覺，從而導致業務長期受到威脅。例如，在2018年9月，某知名國際酒店集團被曝出發現約5億名預定客戶信息發生泄露，但經過嚴密審查發現，其實自2014年以來，該集團數據庫就已經持續地遭到了未授權的訪問^[1]。該事件充分證明了建設有效入侵檢測系統的必要性和急迫性。

按照部署的位置，入侵檢測系統一般可以分為網絡入侵檢測系統和主機入侵檢測系統。

·網絡入侵檢測系統部署在網絡邊界，分析網絡流量，識別出入侵行為。

·主機入侵檢測系統部署在服務器上，通過分析文件完整性、網絡連接活動、進程行為、日志字符串匹配、文件特征等，識別出是否正在發生入侵行為，或者判斷出是否已經發生入侵行為。

本書第11～13章將詳細介紹入侵檢測相關技術和實踐。

[1] https://answers.kroll.com/，訪問日期：2018年12月31日。