了解一下圍界入侵監測的監測步驟有哪些

　　今天讓我們一起來了解一下圍界入侵監測的監測步驟有哪些吧。
 

　　(1)信息收集。入侵檢測的第一步是信息收集，內容包括係統、網絡、數據及用戶活動的狀態和行為。而且，需要在計算機網絡係統中的若幹不同關鍵點(不同網段和不同主機)收集信息，這除了盡可能擴大檢測範圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。
 

　　當然，入侵檢測很大程度上依賴於收集信息的可靠性和正確性，因此，很有必要隻昶用所知道的真正的和精確的軟件來報告這些信息。
 

　　因為黑客經常替換軟件以搞混和移走這些信息，例如替換被程序調用的子程序、庫和其他工具。黑客對係統的修改可能使係統功能失常並看起來跟正常的一樣，而實際上不是。
 

　　例如，UNIX係統的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同於文件的文件(票客隱藏了初始文件並用另一版本代替)。
 

　　這需要保證用來檢測網絡係統的軟件的完整性，特別是入侵檢測係統軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。
 

　　(2)信號分析。對上述四類收集到的有關係統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。