Linux 服务器入侵检测实战指南

一、入侵检测基础原理

Linux服务器入侵检测系统(IDS)通常分为两类：基于主机的检测(HIDS)和基于网络的检测(NIDS)。有效的检测需要结合以下核心要素：

• 异常行为基线：建立CPU/内存/网络流量的正常阈值
• 关键文件监控：/etc/passwd、/etc/shadow等敏感文件变更追踪
• 进程白名单：非授权进程的实时检测机制

二、实战检测技术

1. 日志分析技巧

使用journalctl结合正则表达式进行高效日志筛查：

 检测SSH暴力破解尝试
journalctl -u sshd | grep "Failed password" | awk '{print $11}' | sort | uniq -c | sort -nr

2. 文件完整性校验

使用AIDE(Advanced Intrusion Detection Environment)建立基准数据库：

 初始化数据库
aide --init
 日常校验
aide --check

3. 网络连接监控

结合netstat和lsof进行可疑连接分析：

 检测异常外连
netstat -tulnp | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c

三、高级检测方案

1. 内核级监控

使用auditd框架监控系统调用：

 监控/etc目录变更
auditctl -w /etc -p wa -k etc_changes

2. 机器学习检测

通过Python+Scikit-learn构建异常检测模型：

from sklearn.ensemble import IsolationForest
 使用CPU/内存/网络指标训练检测模型
clf = IsolationForest(contamination=0.01)
clf.fit(server_metrics)

四、应急响应流程

1. 立即隔离受影响系统
2. 创建系统快照：dd if=/dev/sda1 of=/backup/forensic.img
3. 分析入侵时间线：ls -ltu /var/log
4. 修补安全漏洞
5. 重置所有凭证

通过持续监控、定期演练和自动化检测脚本的组合，可显著提升Linux服务器的安全防护水平。建议每周执行完整性校验，每日审查关键日志，并保持安全补丁及时更新。