@深巷
2年前 提问
1个回答
入侵检测的信息源有哪些
帅末
2年前
入侵检测可以分为基于主机的入侵检测系统和基于应用程序的入侵检测系统。
基于主机的入侵检测系统分析的信息源一般有两种:审计记录和系统日志。
审计记录
审计记录是操作系统的内核在操作的时候生成的,所以比系统日志有更多和更可靠的信息。
系统日志
系统日志比审计记录要少,简单易懂,处理起来更方便。
基于应用程序的入侵检测系统常用的信息源是应用程序处理的记录文件。
应用程序处理的记录文件
由于了解特定应用程序的行为,还与应用程序有直接接口,基于应用程序的入侵检测系统可以发现用户超越自己权限的可疑行为,这是因为这个问题常见于由用户、数据和应用程序之间的操作引起。