（句基于网络的入侵检测。系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，该系统由遍及网络的传感器组成。传感器是一台将以太网卡置于混杂模式中的计算机，用于嗅探网络上的数据包。

（四）入侵检测的过程与模型1.入侵检测的模型

一个入侵检测系统的通用模型由以下组件组成：事件产生器，用2盒表示；事件分析器，用人盒表示；响应单元，用汉盒表示；事件数据库，用0盒表示，如图7-8所示。

事件产生器    事件分析器

事件数据库    响应单元

图7-8入侵检测系统的通用模型

2盒通过传感器收集事件数据，并将信息传送给八盒，人盒检测误用模式；0盒存储来自人、2盒的数据，并为额外的分析提供信息；反盒从人、2盒中提取数据，0盒启动适当的响应。八、2、0及汉盒之间的通信都基于通用入侵检测对象）和08以通用入侵规范语言\

1.入侵检测的过程

入侵检测的过程分为三个步骤：信息收集、信息分析和结果处理。

信息收集。收集的内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息。

卩）信息分析。收集到的各类信息被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，系统会产生一个告警并发送给控制台。

（ ）结果处理。控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。