今天讓我們一起來(lái)了解一下圍界入侵監(jiān)測(cè)的監(jiān)測(cè)步驟有哪些吧。
 

　　(1)信息收集。入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的昂好標(biāo)識(shí)。
 

　　當(dāng)然，入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只昶用所知道的真正的和精確的軟件來(lái)報(bào)告這些信息。
 

　　因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫(kù)和其他工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來(lái)跟正常的一樣，而實(shí)際上不是。
 

　　例如，UNIX系統(tǒng)的PS指令可以被替換為一個(gè)不顯示侵入過程的指令，或者是編輯器被替換成一個(gè)讀取不同于文件的文件(票客隱藏了初始文件并用另一版本代替)。
 

　　這需要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息。
 

　　(2)信號(hào)分析。對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。