6.7.1. 常见入侵点

• Web入侵
• 高危服务入侵

6.7.2. 常见实现

6.7.2.1. 客户端监控

• 监控敏感配置文件
• 常用命令ELF文件完整性监控
  • ps
  • lsof
  • ...
• rootkit监控
• 资源使用报警
  • 内存使用率
  • CPU使用率
  • IO使用率
  • 网络使用率
• 新出现进程监控
• 基于inotify的文件监控

6.7.2.2. 网络检测

  基于网络层面的攻击向量做检测，如Snort等。

6.7.2.3. 日志分析

  将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台，在后台中对各类日志进行综合的分析。

6.7.3. 参考链接

• 企业安全建设之HIDS
• 大型互联网企业入侵检测实战总结
• 同程入侵检测系统
• Web日志安全分析系统实践
• Web日志安全分析浅谈