(一)定义
将入侵监测软件或设备接入待评估网络中,采集评估对象威胁信息和安全状态
(二)分类(按用途)
- 主机入侵监测
- 网络入侵监测
- 应用入侵监测
(三)入侵检测工具
(1)网络协议分析器
- Tcpdump
- Wireshark
(2)入侵检测系统
- Snort
- Suricata
- Bro
(3)Windows系统注册表监测
- regedit
(4)Windows系统安全状态分析
- Process Explorer
- Autoruns
- Process Monitor
(5)恶意代码检测
- RootkitRevealer
- OlamAV
(6)文件完整性检查
- Tripwire
- MD5sum