什么是入侵检测 3、信息收集 第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不 致性却是可疑行为或入侵的最好标识。 1系统和网络日志文件 2目录和文件中的不期望的改变 3程序执行中的不期望行为 4.物理形式的入侵信息9 3、信息收集 一、什么是入侵检测 第一步是信息收集，包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点（网段 和主机）收集信息，这样做的理由就是从一个来源的 信息有可能看不出疑点，但从几个源来的信息的不一 致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息