入侵检测过程分为以下3部分:
信息收集:入侵检测的第一步是信息收集。该集合包括系统、网络、数据和用户活动的状态和行为。信息由放置在不同网段的传感器或不同主机上的代理收集,包括系统和网络日志文件、网络流量、异常目录和文件更改以及异常程序执行。
信息分析:将收集到的系统、网络、数据以及用户活动状态和行为等信息发送至检测引擎。检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到误用模式时,会生成警报并将其发送到控制台。
结果处理:控制台根据报警产生的预定义响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、更改文件属性,也可以只是简单的报警。