Linux系统下的入侵检测系统为何现在好像没多少人搞？

问题描述如下：

是因为系统消耗过大吗？
还是因为无法进行有效判断？
题主的大创项目就是这方向的，希望有人能指点一下，大概看了一下以前的一些东西，包括谢华刚博士的lids系统和一些其他的产品．
可是项目大多是十多年前的了，为何如今没落了？（或者没落这个词不准确？）

参考答案如下：

问题中提到了 LIDS，那么所说的 IDS 想必是指 HIDS 而非 NIDS。

虽然从理论上说，HIDS 是所有单一安全产品中能实现最多防护功能的，但由于 Linux 主要被用作服务器，而对服务器而言，一来从性能和稳定性的角度会比较忌惮 HIDS 这种东西；二来系统使用者安全技术和意识相对较好，环境相对易控，安全上相对好处理一些，对 HIDS 的需求没那么强烈。还有发行版本众多等其它原因，但前面这两点是最主要的。

所以，HIDS 技术实际上不是 Linux 下没多少人搞，而是所有服务器操作系统上都没多少人搞。

在 Windows 上，主机安全软件则几乎都使用了某种意义上的 HIDS 技术。因为 Windows 主要被用作终端，用户平均安全能力较弱，环境复杂，面临的安全风险较多。得益于这一点，开发 Windows 客户端安全软件的厂家也往往也会顺便开发服务器端版本。

不过，安全技术是随安全形势而发展的。随着这几年安全对抗形势的升级，以及云计算产业的发展，Linux 上的轻量级类 HIDS 技术还是会有一定市场的，但可能主要是云厂商自研自用，搞独立商业产品可能还是比较艰难。

参考答案如下：

阿里云云盾的安骑士就在搞，覆盖量还很大，今年将进一步产品化。

这个领域空间很大，关键是切入点、稳定性、兼容性都要做好。以往不火主要是windows服务器占有量比较大，linux又主要是开源阵营，商业化比较困难。再加上主机层面的病毒不像windows那么多。

现在时代已经变了。

　　　　　　　　　　　　　 查看评论 回复