入侵检测系统 (IDS) 是一种应用程序或设备，用于监控入站和出站网络流量，持续分析活动以发现模式变化，并在检测到异常行为时向管理员发出警报。然后管理员查看警报并采取措施消除威胁。    

入侵检测的起源可以追溯到1980年，由James P. Anderson提出的《计算机安全威胁监控与监视》一文，为入侵检测技术的概念奠定了基础。Anderson在这篇开创性的论文中详细描述了计算机安全威胁的类型、安全审计记录的重要性和如何通过审计数据进行入侵检测。这一研究为后续的入侵检测系统设计和实现提供了重要的理论支持。

随着计算机和网络技术的快速发展，安全威胁日益增多，入侵检测逐渐成为了一个热门的研究领域。在1980年代中后期，乔治敦大学的Dorothy Denning和SRI公司的Peter Neumann等人研究出了一个实时入侵检测系统模型——IDES（Intrusion Detection Expert Systems），这是第一个在一个应用中运用了统计和基于规则两种技术的系统，对入侵检测研究产生了深远影响。

此外，1989年加州大学戴维斯分校的Todd Heberlein发表了一篇题为《A Network Security Monitor》的论文，这篇论文描述了一个能够捕获TCP/IP分组并直接将其用作审计数据来源的监控器，从而可以在不将审计数据转换成统一格式的情况下监控异种主机。这一研究为网络入侵检测技术的诞生奠定了基础。

入侵检测的必要性主要体现在以下几个方面：

1.安全性保障：入侵检测系统（IDS）能够实时监视和分析系统活动，检测并报告任何可疑或不正常的行为。这对于预防、检测和响应潜在的安全威胁至关重要，有助于保护组织的资产和数据安全。

2.降低风险：通过及时发现和应对入侵行为，入侵检测系统有助于降低因安全漏洞或攻击导致的损失。这包括防止数据泄露、防止服务中断、减少财务损失等。

3.满足合规要求：许多行业和组织需要遵守特定的安全和隐私法规，如GDPR、HIPAA等。入侵检测系统能够帮助组织确保符合这些法规的要求，避免因违反法规而面临罚款或其他法律后果。

4.提高安全意识：入侵检测系统能够收集和分析安全事件数据，为组织提供关于安全态势的深入洞察。这有助于组织了解自身的安全弱点，并采取相应措施进行改进，从而提高整体安全意识。

5.强化防御能力：通过入侵检测，组织可以了解攻击者的战术、技术和程序（TTP），进而优化防御策略。此外，入侵检测系统还可以与其他安全工具（如防火墙、安全事件管理（SIEM）系统等）集成，共同构建更强大的防御体系。

德迅蜂巢原生安全平台由德迅云安全自主研发，能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。其中的实时入侵检测功能更是一大亮点。通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

一：实时入侵检测之基于已知威胁进行检测：德迅蜂巢通过监控容器内的进程创建、文件变化等行为，获取行为特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell等攻击行为。

二：实时入侵检测之基于恶意行为进行检测：以ATT&CK框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立IOC模型进行分析，能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

三：实时入侵检测之基于异常行为进行检测：通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁。

入侵检测包含的特点主要体现在：

1.实时发现失陷容器：对攻击路径的每个节点进⾏监控，保证实时发现失陷容器，对⼊侵⾏为进⾏告警。

2.有效发现未知⿊客攻击：结合专家经验、威胁情报、⼤数据、机器学习等多种分析⽅法，通过对⽤户容器环境的实时监控和深度了解，有效发现包括 “0Day” 在内的各种未知⿊客攻击。

3.对业务系统“零”影响：轻量Agent能保证对容器安全进行全面监控，且不会对其业务系统产⽣影响，为⽤户的容器安全提供⾼效可靠的保护。

4.结合资产信息，为响应提供最准确的⼀线信息：在独有的资产管理能⼒⽀持下，产品不仅能发现⼊侵，还能够提供详细的⼊侵分析和响应⼿段，从⽽让⽤户精准有效地解决问题。

       入侵检测随着信息安全问题的日益突出越来越多地受到人们的关注，目前，已有多个原型系统和商用的IDS出现。尽管目前在入侵检测领域还有很多问题需要深入研究，但可以展望，入侵检测技术的发展将对信息的安全保护产生深远的影响。