安全侠
2
等保中级测评师
CICSA
官方采纳
安全侠2
等保中级测评师
CICSA
入侵检测过程分为3部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过 3 种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,会产生一个告警并发送给控制台。
结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
房乐
2
CISAW
CISP-PTE
官方采纳
房乐2
CISAW
CISP-PTE
入侵检测过程分为以下3部分:
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过3种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,会产生一个告警并发送给控制台。
结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
推荐文章
