入侵檢測與入侵防御入侵檢測系統(tǒng)入侵檢測的起源1980年4月，JamesP.Anderson在“計算機安全威脅的監(jiān)察與監(jiān)管”（ComputerSecurityThreatMonitoringandSurveillance）報告中，首次提出了入侵檢測的思想，這份報告被公認為入侵檢測的開山之作。第一次詳細闡述了入侵檢測的概念計算機系統(tǒng)威脅分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想威脅模型入侵檢測的起源1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個實時入侵檢測專家系統(tǒng)：IDES-a（IntrusionDetectionExportSystem）1987年，喬治敦大學(xué)的DorothyE.Denning在論文《入侵檢測模型》（AnIntrusion-DetectionModel）中，首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御問題的措施提出。通用的入侵檢測系統(tǒng)抽象模型主體（Subjects）對象（Objects）審計記錄（Auditrecords）活動檔案（Profiles）異常記錄（Anomolyrecords）活動規(guī)則（Activityrules）入侵檢測的起源1988年之后，美國開展對分布式入侵檢測系統(tǒng)（DistributedIntrusionDetectionSystem,

DIDS）的研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品。1989年，美國加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了N.S.M（NetworkSecurityMonitor），并于1990年發(fā)表相關(guān)論文。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的NIDS和基于主機的HIDS1991年，HaroldS.Javitz和AlfonsoValdes發(fā)布《TheSRIIDESStatisticalAnomalyDetector》（統(tǒng)計異常檢測）1994年，Sandeep.Kumar和EugeneH.Spafford發(fā)布《AnApplicationofPatternMatchinginIntrusionDetection》（模式匹配在入侵檢測中的應(yīng)用），誤用檢測理論。入侵檢測的起源從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面。1995年，下一代入侵檢測專家系統(tǒng)（NextGenerationIDES,NG-IDES）產(chǎn)生，可以檢測多個主機上的入侵。1996年，基于圖的入侵檢測系統(tǒng)（Graph-basedIntrusionDetectionSystem,GrIDS）出現(xiàn)，主要用于針對大規(guī)模協(xié)同、自動化檢測。1998年，S.Staniford等人提出一個公共入侵檢測框架（CommonIntrusionDetectionFramework,CIDF），IDS被分為4個組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元及事件數(shù)據(jù)庫，CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。2007年，CIDF工作組再次發(fā)布了3篇IETFRFC標準草稿，分別為RFC4765入侵檢測消息交換格式、RFC4766入侵檢測消息交換要求和RFC4767入侵檢測交換協(xié)議。網(wǎng)關(guān)類產(chǎn)品的局限防火墻的局限可以管控訪問規(guī)則，不能識別流量問題可以控制流量大小，不能對應(yīng)用層協(xié)議進行深度分析下一代防火墻可以防病毒，但因為防病毒的原理導(dǎo)致性能衰減可以對邊界的部分攻擊進行檢測，無法對內(nèi)網(wǎng)威脅的東西向傳播進行檢測防火墻核心交換機服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)流量A/B/C正常流量A異常流量B攻擊流量C入侵檢測系統(tǒng)的定義入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱“IDS”）是一種對

網(wǎng)絡(luò)傳輸

進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護技術(shù)。IDSIDS防火墻核心交換機服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)流量A/B/C正常流量A異常流量B攻擊流量C入侵檢測流量監(jiān)測入侵檢測的作用入侵檢測可以識別入侵者，識別入侵行為，監(jiān)視和檢測已成功的安全突破，為對抗入侵及時提供重要信息，以阻止事件的發(fā)生和事態(tài)的擴大，具有如下作用：實時檢測網(wǎng)絡(luò)系統(tǒng)的非法行為，持續(xù)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并及時處理所捕獲的數(shù)據(jù)報文；安全審計，通過對入侵檢測系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，發(fā)現(xiàn)其中的異常現(xiàn)象，為評估系統(tǒng)的安全狀態(tài)提供相關(guān)證據(jù)；不占用被保護系統(tǒng)的任何資源，作為獨立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，本身的安全性較高；主機入侵檢測系統(tǒng)運行于被保護系統(tǒng)之上，可以直接保護、恢復(fù)系統(tǒng)；IDS防火墻內(nèi)部用戶入侵檢測受保護系統(tǒng)訪問控制特權(quán)用戶定時掃描系統(tǒng)交換機內(nèi)部訪問特權(quán)訪問外部訪問監(jiān)測通過防火墻的流量監(jiān)測內(nèi)網(wǎng)流量入侵檢測分類-數(shù)據(jù)源基于主機（Host-Based）的入侵檢測系統(tǒng)HIDS能夠監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄、系統(tǒng)日志。在每個受保護的主機上運行客戶端程序，用于實時監(jiān)測主機系統(tǒng)的信息通信，一旦發(fā)現(xiàn)入侵數(shù)據(jù)，立即交由檢測系統(tǒng)主機進行分析。辦公PC服務(wù)器入侵分析中心網(wǎng)管PC日志代理日志代理過濾分析辦公PC日志分析數(shù)據(jù)的獲取方式分為直接檢測和間接檢測。數(shù)據(jù)獲取的架構(gòu)一般采用AAFID（AutonomousAgentsforIntrusionDetection）架構(gòu)，將整個數(shù)據(jù)獲取拆分為數(shù)據(jù)源（系統(tǒng)調(diào)用、端口調(diào)用、審計記錄、系統(tǒng)日志、應(yīng)用日志）、代理、過濾器幾部分，最終將采集的數(shù)據(jù)交給分析系統(tǒng)。入侵檢測分類-數(shù)據(jù)源IDS防火墻內(nèi)部PCNIDS受保護系統(tǒng)訪問控制特權(quán)PC內(nèi)部訪問特權(quán)訪問外部訪問端口鏡像、分光器復(fù)制流量網(wǎng)管PC基于網(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)NIDS使用原始流量數(shù)據(jù)包作為數(shù)據(jù)源，利用網(wǎng)絡(luò)適配器實時監(jiān)測并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流量，其主要工作思想是根據(jù)網(wǎng)絡(luò)協(xié)議和通信原理實現(xiàn)數(shù)據(jù)包的捕獲和過濾，進行入侵特征識別和協(xié)議分析。監(jiān)測的內(nèi)容，以TCP/IP協(xié)議族為基礎(chǔ)?；诨旌蠑?shù)據(jù)源的入侵檢測系統(tǒng)以多種數(shù)據(jù)源為檢測目標，其采用分布式部署模式，在需要監(jiān)視的服務(wù)器和和網(wǎng)絡(luò)路徑上部署監(jiān)視模塊，監(jiān)視模塊再向管理服務(wù)器報告及上傳證據(jù)。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TelnetFTPTFTPSNMPHTTPSMTPDNSDHCPTCPUDPICMPIPARP、RARPVLANEthernetPPP、PPPoE``````入侵檢測分類-分析方法異常檢測（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵。漏報率低，誤報率高，可一定程度識別0-day攻擊。流量監(jiān)控數(shù)據(jù)量化規(guī)則比較規(guī)則修正判定告警流量監(jiān)控特征提取模式匹配判定告警誤用檢測（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。誤報低、漏報高，針對已知攻擊類型。入侵檢測分類-檢測方式實時檢測系統(tǒng)非實時檢測系統(tǒng)實時檢測系統(tǒng)又稱在線檢測系統(tǒng)，通過實時監(jiān)測并分析網(wǎng)絡(luò)流量、主機審計記錄及各種日志信息發(fā)現(xiàn)入侵行為。在數(shù)據(jù)產(chǎn)生的同時或者發(fā)生改變時進行分析，具備反應(yīng)迅速、及時保護系統(tǒng)的特點，但系統(tǒng)規(guī)模較大時，實時性難以得到實際保證。非實時檢測系統(tǒng)又稱離線檢測系統(tǒng)，對一定時間內(nèi)的數(shù)據(jù)進行分析，發(fā)現(xiàn)入侵行為。常被用于入侵行為發(fā)生后，對產(chǎn)生的數(shù)據(jù)進行分析，通過不斷完善規(guī)則庫、知識庫、特征庫，以提高入侵檢測的準確率。具備成本低，可分析大量事件、分析長期情況等特點，但無法提供及時保護。入侵檢測分類-檢測結(jié)果二分類入侵檢測多分類入侵檢測二分類入侵檢測系統(tǒng)只提供是否發(fā)生入侵攻擊的結(jié)論性判斷，不斷提供更多可讀的、有意義的信息，只輸出有無入侵發(fā)生，而不報告具體的入侵行為。多分類入侵檢測系統(tǒng)能夠分辨出當前系統(tǒng)遭受的入侵攻擊的具體類型，如果認為是非正常行為，輸出的不僅是有無入侵發(fā)生，而且會報告具體的入侵類型。入侵檢測分類-響應(yīng)方式主動入侵檢測系統(tǒng)被動入侵檢測系統(tǒng)主動入侵檢測系統(tǒng)檢測出入侵行為后，對目標系統(tǒng)中漏洞采取修補、強制可疑用戶下線、關(guān)閉相關(guān)服務(wù)等措施。主動響應(yīng)措施包括：記錄事件日志修正系統(tǒng)設(shè)計誘騙系統(tǒng)獲取入侵信息禁用特定端口或服務(wù)隔離入侵IP地址被動入侵檢測系統(tǒng)在檢測到入侵行為后，只產(chǎn)生報警信息通知管理員，之后由管理員做出響應(yīng)動作。被動響應(yīng)只起到為用戶提供通知或告警的作用，主要由用戶自己決定用什么方式或措施應(yīng)用這種入侵行為。入侵檢測分類-分布方式集中式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)集中式入侵檢測系統(tǒng)的各個模塊都集中在一臺主機上運行，一般將網(wǎng)絡(luò)中的數(shù)據(jù)包作為數(shù)據(jù)源，它按一定規(guī)則從網(wǎng)絡(luò)中獲取與攻擊安全性相關(guān)的數(shù)據(jù)包，然后調(diào)用分析引擎分析，最后輸出分析結(jié)果。集中式入侵檢測適用于簡單網(wǎng)絡(luò)環(huán)境，入侵檢測精度較差。分布式入侵檢測系統(tǒng)各個模塊分布在網(wǎng)絡(luò)中不同計算機上，各模塊分別完成數(shù)據(jù)收集、數(shù)據(jù)分析、控制輸出分析結(jié)果的功能。分布式入侵檢測系統(tǒng)具備減少主機壓力、可擴展性強、解決IDS單點故障的優(yōu)點。通用入侵檢測模型（Denning模型）活動簡檔異常記錄規(guī)則集處理引擎主體活動計時器規(guī)則設(shè)計與更新建立提取規(guī)則學(xué)習(xí)審計記錄新活動簡檔歷史簡檔更新最早的入侵檢測模型，Denning于1987年提出，雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對此后的大部分實用系統(tǒng)都有很大的借鑒價值。層次化入侵檢測模型（IDM）攻擊特征庫網(wǎng)絡(luò)數(shù)據(jù)源安全策略庫主機數(shù)據(jù)源攻擊信息入侵信息攻擊行為分析入侵行為分析檢測出已知入侵檢測未已知入侵攻擊特征提起入侵特征提起安全狀態(tài)層（SecurityState）威脅層（Threat）上下文層（Context）主體層（Subject）事件層（Event）數(shù)據(jù)層（Data）層次化入侵檢測系統(tǒng)基于Denning模型設(shè)計而來，融入異常檢測和誤用檢測兩種檢測策略。該模型講入侵檢測動態(tài)分為攻擊檢測和入侵檢測，利用誤用檢測策略識別已知攻擊（攻擊檢測），利用異常檢測識別未知入侵（入侵檢測）。層次化入侵檢測模型將入侵檢測系統(tǒng)分為6層，從低到高依次為：數(shù)據(jù)層、事件層、主體層、上下文層、威脅層和安全狀態(tài)層。管理式入侵檢測模型（SNMP-IDSM）主機AIDSA主機BIDSB從IDS事件MIB中進行SNMPGet操作端口掃描事件與用戶異常行為事件向腳本MIB實施SNMPSet操作SNMP通知SNMP-IDSM以SNMP為公共語言實現(xiàn)IDS之間的消息交換和協(xié)同檢測。通用入侵檢測框架（CIDF）事件產(chǎn)生器事件分析器響應(yīng)單元事件數(shù)據(jù)庫通用入侵檢測對象通用入侵檢測對象通用入侵檢測對象通用入侵檢測對象通用入侵檢測對象響應(yīng)通用入侵檢測框架（CommonIntrusionDetectionFramework,CIDF）定義了IDS表達檢測信息的標準語言以及IDS組件之間的通信協(xié)議，符合CIDF規(guī)范的IDS和安全設(shè)備可以共享檢測信息，進行協(xié)同工作。并集成了各種安全設(shè)備使之協(xié)同工作，是分布式入侵檢測的基礎(chǔ)。體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture,CIDFA），提出了一個標準的IDS的通用模型。規(guī)范語言（ACommonIntrusionSpecificationLanguage,CISL），定義了一個用來描述各種檢測信息的標準語言。內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework），定義了IDS組件之間進行通信的標準協(xié)議。程序接口（(CommonIntrusionDetectionFrameworkAPIs,CIDFAPIs），提供一整套標準的應(yīng)用程序接口（API函數(shù)）。網(wǎng)絡(luò)中無防火墻IDS

Sensor過濾HubIDS控制臺管理員InternetPC服務(wù)器DNSMail黑客網(wǎng)絡(luò)中考慮安全防護方案時，首先考慮的是在網(wǎng)絡(luò)入口處安裝防火墻進行防護，但個別特殊情況下無法部署防火墻，此時入侵檢測系統(tǒng)通常安裝在入口交換機/路由器上，監(jiān)測所有進出網(wǎng)絡(luò)的數(shù)據(jù)包并進行相應(yīng)的保護。網(wǎng)絡(luò)中有防火墻IDS

Sensor過濾HubIDS控制臺管理員Internet黑客管理員DNSMail交換機防火墻路由器PCPCPC服務(wù)器DMZ區(qū)域內(nèi)網(wǎng)IDS

Sensor防火墻系統(tǒng)具有防御外部網(wǎng)絡(luò)攻擊的作用，網(wǎng)絡(luò)中部署防火墻時和入侵檢測系統(tǒng)相互配合可以進行更有效安全管理，此時通常將IDS系統(tǒng)部署于防火墻之后，作為防火墻防御之后的二次防御。在某些情況下，還需要考慮外部網(wǎng)絡(luò)針對防火墻的攻擊，此時會在防水墻外部部署入侵檢測系統(tǒng)，隨著防火墻技術(shù)的發(fā)展，此種場景已被融入到下一代防火墻NGFW中。網(wǎng)神SecIDS3600入侵檢測系統(tǒng)低端中低端中端中高端高端D1500系列D3000系列D5000系列D9000系列D10000系列SecIDS-登錄設(shè)備在PC機打開瀏覽器，輸入入侵檢測系統(tǒng)Web管理口地址：，在彈出的登錄對話框中輸入用戶名和密碼（默認用戶名：admin，默認密碼：!1fw@2soc#3vpn），點擊<登錄>按鈕。SecIDS-配置策略向?qū)в脩暨M入Web管理頁面后，在導(dǎo)航欄區(qū)域點擊“策略”>“配置向?qū)А?，進入配置向?qū)ы撁?。SecIDS-配置向?qū)?接口配置在配置向?qū)ы撁?，用戶點擊<下一步>按鈕，配置安全策略名稱和開啟接口IDS功能。SecIDS-配置向?qū)?地址配置在配置向?qū)ы撁妫脩酎c擊<下一步>按鈕，配置安全策略匹配條件“地址區(qū)域流”,建議配置全0地址，即對所有地址進行安全檢測SecIDS-配置向?qū)?特征庫選項在配置向?qū)ы撁?，用戶點擊<下一步>按鈕，配置安全策略使用的模板，建議使用level5模板，該模板包含特征庫的全部特征SecIDS-配置向?qū)?日志可視化配置在配置向?qū)ы撁妫脩酎c擊<下一步>按鈕，可視這個配置是可選的，用戶可以根據(jù)自己的情況選擇是否配置。如果不配置，直接點擊<下一步>按鈕。SecIDS-配置向?qū)?配置概覽配置完成后，最后點擊<確定>按鈕，結(jié)束配置。入侵檢測過程-信息收集信息收集信息分析告警與響應(yīng)入侵檢測的第一步是信息收集，收集的信息包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動的狀態(tài)和行為等。信息收集的范圍越廣，入侵檢測系統(tǒng)的檢測范圍越大。入侵檢測很大程度上依賴于所收集信息的可靠性和正確性，這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，軟件本身應(yīng)具有相當強的堅固性，防止因軟件篡改而收集到錯誤信息。信息收集-基于主機數(shù)據(jù)源系統(tǒng)的運行狀態(tài)信息系統(tǒng)的記賬信息C2級安全審計信息系統(tǒng)日志所有操作系統(tǒng)都提供一些系統(tǒng)命令獲取系統(tǒng)的運行情況。這些命令直接檢查系統(tǒng)內(nèi)核的存儲區(qū)，所以他們能提供相當準確的系統(tǒng)事件的關(guān)鍵信息。記賬是獲取系統(tǒng)行為信息最古老、普遍的方法。網(wǎng)絡(luò)設(shè)備和主機系統(tǒng)中都使用了記賬系統(tǒng)，用于提供系統(tǒng)用戶使用共享資源的信息。記賬系統(tǒng)的廣泛應(yīng)用使得可以采用它作為入侵檢測系統(tǒng)審計數(shù)據(jù)源。Syslog是操作系統(tǒng)為系統(tǒng)應(yīng)用提供的一項審計服務(wù)，這項服務(wù)在系統(tǒng)應(yīng)用提供的文本形式的信息前面添加應(yīng)用運行的系統(tǒng)名和時間戳信息，然后進行本地或遠程歸檔處理。但只有少數(shù)入侵檢測系統(tǒng)采用Syslog守護程序提供的信息。系統(tǒng)的安全審計記錄了系統(tǒng)中所有潛在的安全相關(guān)事件的信息。UNIX的審計系統(tǒng)中記錄了用戶啟動的所有進程執(zhí)行的系統(tǒng)調(diào)用序列。UNIX的安全記錄中包含了大量的關(guān)于事件的信息：用于識別用戶的詳細信息、系統(tǒng)調(diào)用執(zhí)行的參數(shù)、系統(tǒng)程序執(zhí)行的返回值和錯誤碼等。主機數(shù)據(jù)源信息收集-基于網(wǎng)絡(luò)數(shù)據(jù)源簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的管理信息庫（MIB）是一個用于網(wǎng)絡(luò)管理的信息庫，其中存儲有網(wǎng)絡(luò)配置信息和設(shè)備性能數(shù)據(jù)網(wǎng)神SecIDS3600系統(tǒng)中的管理對象在SNMP報文中用管理變量描述，SNMP用層次結(jié)構(gòu)命名方案識別對象，層次結(jié)構(gòu)的各節(jié)點表示管理對象。SNMP信息網(wǎng)絡(luò)通信包網(wǎng)絡(luò)嗅探器是收集網(wǎng)絡(luò)中發(fā)生事件信息的有效方法，常被攻擊者用來截取網(wǎng)絡(luò)數(shù)據(jù)包，目前多數(shù)計算機系統(tǒng)的攻擊行為是通過網(wǎng)絡(luò)進行的。將網(wǎng)絡(luò)通信包作為入侵檢測系統(tǒng)的分析數(shù)據(jù)源，可解決如下問題：檢測只能通過分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測出的網(wǎng)絡(luò)攻擊，如DDoS。不存在基于主機入侵檢測系統(tǒng)在網(wǎng)絡(luò)環(huán)境下遇到的審計記錄的格式異構(gòu)性問題。使用一個單獨的機器進行信息采集，這種數(shù)據(jù)收集、分析工具不影響整個網(wǎng)絡(luò)的處理性能。通過簽名分析報文的頭部信息，檢測針對主機的攻擊。信息收集-其他數(shù)據(jù)源應(yīng)用程序日志文件系統(tǒng)應(yīng)用服務(wù)器化的趨勢，使得應(yīng)用程序的日志文件在入侵檢測系統(tǒng)的分析數(shù)據(jù)源中具有重要的地位，與系統(tǒng)審計記錄和網(wǎng)絡(luò)通信包相比，其具有精確性、完整性、性能強等優(yōu)點。但其也具有如下缺點：只有當系統(tǒng)能夠正常應(yīng)用程序日志文件時，才能檢測出攻擊行為；無法檢測出針對系統(tǒng)軟件底層協(xié)議的安全問題。其他入侵檢測系統(tǒng)的報警信息基于網(wǎng)絡(luò)、分布式環(huán)境的檢測系統(tǒng)一般采用分層的結(jié)構(gòu)，由許多局部入侵檢測系統(tǒng)進行局部檢測，然后由上層檢測系統(tǒng)進行匯總，其他局部入侵檢測系統(tǒng)的結(jié)果也可作為參考，彌補不同檢測機制的入侵檢測系統(tǒng)的先天不足。其他設(shè)備交換機、路由器、網(wǎng)管系統(tǒng)等網(wǎng)絡(luò)設(shè)備都具備較為完善的日志信息，這些信息包含了關(guān)于設(shè)備的性能、使用統(tǒng)計資料的信息。防火墻、安全掃描系統(tǒng)、訪問控制系統(tǒng)等安全產(chǎn)品都能產(chǎn)生其自身的活動日志，這些日志包含安全相關(guān)信息，可作為入侵檢測系統(tǒng)的信息源。入侵檢測過程-信息分析信息收集信息分析告警與響應(yīng)入侵檢測系統(tǒng)從信息源中收集到信息量極大，而這絕大部分是正常信息，少部分信息代表著入侵行為的發(fā)生，因此信息分析是