标签：入侵检测

1. 目标与总体架构说明 目的：把WAF（云防火墙或本地WAF）与网络IDS联动，以提升检测精度并实现自动化处置。 架构要点：WAF产生HTTP级日志，IDS（Suricata）产生网络/协议级EVE日志，日志统一入Elasticsearch或SIEM，使用关联引擎（ElastAlert/Graylog/SIEM correlation

本文从可测量的维度出发，概述评估一款云端WAF在移动场景下的入侵检测与误报控制能力所需的方法与指标，涵盖检测策略、测试场景、数据采集、误报识别与规则优化流程，帮助安全团队形成可重复的评估框架。 应该从多少个维度来评估？ 评估苏研的移动云waf时，建议至少覆盖六个维度：检测准确性（准确率、召回率）、误报率、响应时延、资源开销（CPU/内存/网络

1. 概述：分工与目标 - 云防火墙侧重网络层（IP/端口/协议）流量控制与边界防护。 - WAF（Web Application Firewall）侧重应用层（HTTP/HTTPS）请求与业务逻辑的保护。 - 目标：云防火墙用于阻断可疑流量，WAF用于识别并阻止针对Web应用的攻击（SQLi、XSS、文件上传等）。 2. 部署前