试述入侵检测的基本步骤有哪些?
入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应.
入侵检测的第一步是信息收集,入侵检测利用的信息一般来自以下4个方面
( 1)系统和网络日志文件.
( 2)目录和文件中的不期望的改变.
( 3)程序执行中的不期望行为.
( 4)物理形式的入侵信息.
数据分析是入侵检测的核心,一般通过3种技术手段进行分析:模式匹配,统计分析和完整性分析.其中前2种方法用于实时的入侵检测,而完整性分析则用于事后分析.
入侵检测系统发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警等.响应一般分主动响应和被动响应两种类型.
