其实我是想不漏报任何入侵的，但是感觉这个目标可能过于难了。
起因是之前听说开源工具效果都不怎么好。然后今天在谷歌上搜“ossec Useless site:www.reddit.com”的时候看到一个观点，就是工具再多都是不够的，还是要看人。 www.reddit.com/r/cybersecurity/comments/1ma8zwa/comment/n5cx1qr/ 。我基本上信了。然后我雇不起人，所以想自己成为那种人。
目前我找到一本书：《日志管理与分析权威指南》，够吗？入侵检测除了分析日志还有别的什么吗？网络流量分析我总感觉不靠谱。之前我还看过《 WEB 应用安全权威指南》、《编程精粹》、《 Linux 系统安全》。目前我每天大概能拿出五六个小时的时间。大概可以給人肉入侵检测技术半个月的学习时间。之后的日常维护大概可以每天抽出 20 分钟的时间人肉和半人肉分析日志之类的。要是半个月学不到什么的话我就有点想直接放弃入侵检测了。也想直接放弃安装入侵检测软件了，反正效果也不好。
这个技能对练习的要求多不多？有没有什么免费的练习的环境？类似入侵的靶场之类的。入侵检测有没有类似的东西？
我总感觉入侵检测很重要。如果半个月学不到什么东西希望能得到一些吃不到葡萄说葡萄酸的能让我认为这东西不重要和能让我安心的借口。
我想做的网站是个类似豆瓣的网站，但是展示和推荐的主要是方法。我怀疑很多方法的效果都是因人而异的，我想做这个网站验证一下。另外这个网站也可以推荐一般的东西，就是可能会比较麻烦。

真正的黑客是不会留痕迹的

出差时我喜欢办图书馆阅读证，我有全国很多城市的阅读证，国外也有好几个，这些城市图书馆中关于黑客和安全的书我都看完了，另外相关的网络/编程/系统/硬件/加解密相关也看了很多，你猜我水平怎么样？
这个领域方向很多，足有几千个，每个方向都很难很难达到顶级，电影里的那种可当武侠小说看

可能是我的偏见。我觉得如果不是为了建立理论体系，都不要从书本入手。书本上面的信息都是落后至少一个时代的。特别是你预期到自己可能没有那么多的精力分配的时候。

直接找按照你需求的方向按照关键词去找到对应分享，然后分析不同的路线找到一条已经有前人淌过的并且能让你满意的路更实际一些。
而且你也可以通过评论或者邮件去和前人交流沟通，去快速拉平你的信息差。

很多时候考虑的太多了，不如直接开干。一边干一边学，会比你现在瞻前顾后好得多。你现在不知道就频繁备份，有问题直接快照恢复就好了。
如果真的如你所说会被各种攻击，你很快就会在各种攻击中成长成安全领域的专家。

＃3 我会备份的。但是如果我备份的是被黑客修改过的东西怎么办？我就是因为怕备份的是错误的东西才这么在意入侵检测的。

先理解概念， [入侵检测] ：“入侵”是一个需要被定义的的事情，一般来说 “主人” 不愿意你做的事情，都可以称为“入侵”/“攻击”。比入侵检测，更大的概念是 “异常检测”。而异常检测在：大型活动、机械/工业 等都存在。一般都是，先意识到发生了攻击、才知道要检测。

入侵检测，学啥入侵分析分析？都没啥用。常见的入侵，发生在 中间件漏洞（ apache, wordpress 等）、业务漏洞。前者有多款商业/免费 ids 检测、认字就行；后者你要结合业务、所以学 “入侵检测” 还不如学习业务研发（更能定义和发现攻击/入侵）。

＃＃＃ 入侵检测关键

异常检测，在 人 不在术。对 入侵/攻击/异常 的定义，比分析要重要。而往往 ids 检测不出的攻击，需要人的直觉去感受...

这里我觉得可以切换问题、找到更直观的答案：需要看什么书/技术、才能给 总统 做好 保镖 ？

＃＃＃ 入侵检测现状

入侵检测上工具就行了，认字就行了。这样就能把 防御 拉到一个中上的水准。再往下，也下不了了、工具已经拉高了防御下限。再往上，要看人的直觉和运气了。

＃4 ，就再往前恢复啊…这有啥的，数据的备份、业务的备份和系统的备份又不是一起备份的。

学习 1 个月，复现漏洞半个月，实战 3 个月。可以达到中等水平，剩下的就是持续的学习、实战、学习代码审计。

不留痕咋那么多被抓的. 只能说黑客尽量会擦除或掩盖痕迹, 但是不可能不留痕.

多学学缝纫机吧, 至少进去了有优势

＃6
我很可能是在钻牛角尖，甚至可能是在杠。如果黑客做的修改我发现不了怎么办？并且还对用户造成了麻烦的话。我感觉还是从源头上尽量检测出尽可能多的入侵比较好，如果我确实能检测出来一些的话。

我突然想到个方法，就是对比多个备份中的内容，虽然不完美但是感觉也许是个不错的补充。我的网站会实现历史版本的功能，如果历史版本变了很可能说明出问题了。但是我感觉好麻烦，想不到简单的实现方法。我想省钱，我只想备份数据库。代码也会备份。系统盘备份还是免了，不想花那个钱。你说的业务备份是什么？我没在网上搜到。

＃10 ，你发现不了就代表你没办法识别是 [用户主动修改的] 还是 [攻击者强行修改的] ，所以你的困扰是没必要的。
需要做的就是在用户反馈的时候按照用户提供的信息去分析导致问题出现的原因，但 99.99%都是因为自己业务逻辑写的有问题导致的，所以在监控、日志层面上是很难辨识的。

我的想法是没有必要 [为了] 做得尽善尽美，导致自己的项目启动不了。很多时候在自己反复纠结，瞻前顾后的时候就把自己的激情消磨殆尽了。
做项目要在情绪上头的时候完成绝大部分的工作推进，然后再按照市场反馈来考虑是否要继续这个项目。绝大多数的项目绝大多数的情况下都很难坚持运行超过一年，所以干就完了。

装一个 Suricata

几万亿的项目啊，至于吗

系统备份还是需要的，比如说 /t/626230 帖子中出现的常用命令被污染的情况。按你的现状估计就只能快照恢复了。

说的是业务代码的备份，但是你自己开发自己运营不备份也没问题，出现问题直接重新上传就可以了。
很多时候做项目交付出去的代码不会持续迭代会锁定在交付的版本上，所以需要备份业务代码。

这不就是安全运营干的活吗

这个行业的知识迭代速度是惊人的，但同时知识流动又存在壁垒，你如果只是想自己的网站不被入侵，可以让 AI 给你列个最佳实践的单子，做完就可以搞定大部分的风险了，没有必要去啃过于专业的知识，如果你的内容真的特别重要，花钱找专业的人验证就好了

去医院看一下心理问题

抓紧修漏洞，设置补丁一放出来就能响应立马升级，跟黑客写批量入侵脚本赛跑
另外就是注意配置相关的问题，web 安全里配置错误导致安全风险的案例也不少

作为安全行业的，不推荐看书，确实迭代较快，看视频都更好一些。

不过你的需求我可以解决，安装 WAF 和 HIDS 即可，WAF 推荐 SafeLine ，HIDS 推荐 HIDS ，而且都可以自动化部署。

PS：感觉上面的人都挺不重视安全的，不过这样也好，对网安行业是利好，越不重视越利好，也是没谁了。

打错了，HIDS 推荐 wazuh 。

＃19 😁 被卷坏了啊。qaxnb123!!!
从业的都知道乙方一年比一年卷，安全从重视开始过得还是挺好的，后面就哈哈哈了，还不如安全不被重视前为了吃饭去干脱裤子呢