基本方法 。设立系统日志并分析之 如果日志文件较小，可以手动完成。但是如果日志文件很大，可能需要复 杂的工具 0 基于通过跟踪用户用户使用主机行为和上网行为构造用户表征 。网检(NBD) 机检(HBD) 二者结合（混检） Host-based Hybrid IDS IDS Internet Internal network firewall Host-based IDS Network-based IDS 《计算机网络安全的理论与实践（第2版）》.【美】王杰，高等教育出版社，2011年《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 基本方法  设立系统日志并分析之  如果日志文件较小，可以手动完成。但是如果日志文件很大，可能需要复 杂的工具  基于通过跟踪用户用户使用主机行为和上网行为构造用户表征  网检(NBD)  机检(HBD)  二者结合 (混检)