@瞌睡虫
2年前 提问
1个回答

入侵检测的数据源主要包括有哪些

GQQQy
2年前

入侵检测的数据源或者说信息源主要有以下这些:

  • 从网络层收集:这一层主要包括ip地址、端口号、顺序号、协议类型、网络实体名(如服务器名)、校验和、设置选项等;

  • 从操作系统收集:这一层主要包括命令、库、备份程序、登录程序以及其他核心子系统;

  • 从应用层收集:这一层主要包括应用程序的日志记录,主要包括操作系统审计痕迹、系统日志和其他相关应用程序的日志。