入侵檢測的信息源有哪些

入侵檢測可以分為基于主機的入侵檢測系統和基于應用程序的入侵檢測系統。

• 基于主機的入侵檢測系統分析的信息源一般有兩種：審計記錄和系統日志。

  • 審計記錄

    審計記錄是操作系統的內核在操作的時候生成的，所以比系統日志有更多和更可靠的信息。

  • 系統日志

    系統日志比審計記錄要少，簡單易懂，處理起來更方便。

• 基于應用程序的入侵檢測系統常用的信息源是應用程序處理的記錄文件。

  • 應用程序處理的記錄文件

    由于了解特定應用程序的行為，還與應用程序有直接接口，基于應用程序的入侵檢測系統可以發現用戶超越自己權限的可疑行為，這是因為這個問題常見于由用戶、數據和應用程序之間的操作引起。

回答所涉及的環境：聯想天逸510S、Windows 10。