入侵檢測系統如何檢測數據

入侵檢測對數據監測詳細過程如下：

1. 入侵檢測系統通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，抓包時需將網卡設置為混雜模式，根據操作系統的不同采用libpcap或winpcap函數從網絡中捕獲數據包；

2. 將捕獲的數據包送到包解碼器進行解碼。網絡中的數據包有可能是以太網包、令牌環包、TCP/IP包、802.11包等格式。在這一過程包解碼器將其解碼成入侵檢測系統認識的統一的格式；

3. 將數據包送到預處理器進行處理，預處理包括能分片的數據包進行重新組裝，處理一些明顯的錯誤等問題。預處理的過程主要是通過插件來完成，比如Http預處理器完成對Http請求解碼的規格化，Frag2事務處理器完成數據包的組裝，Stream4預處理器用來使入侵檢測系統狀態化，端口掃描預處理器能檢測端口掃描的能力等；

4. 對數據包進行了解碼，過濾，預處理后，進入了入侵檢測系統的最重要一環，進行規則的建立及根據規則進行檢測。規則檢測是入侵檢測系統中最重要的部分，作用是檢測數據包中是否包含有入侵行為。

回答所涉及的環境：聯想天逸510S、Windows 10。