61.1入侵检测步骤 入侵检测一般分为两个步骤:信息收 集和数据分析。 入侵检测的第一步是信息收集,内容 包括系统、网络、数据及用户活动的 6.1 状态和行为。入侵检测利用的信息 6.2 般来自以下四个方面:系统日志、目 录以及文件中的异常改变、程序执行 6.3- 中的异常行为和物理形式的入侵信息6.1.1入侵检测步骤 入侵检测一般分为两个步骤：信息收 集和数据分析。 入侵检测的第一步是信息收集，内容 包括系统、网络、数据及用户活动的 状态和行为。入侵检测利用的信息一 般来自以下四个方面：系统日志、目 录以及文件中的异常改变、程序执行 中的异常行为和物理形式的入侵信息。 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－