图片50

在物联网安全入侵检测中，数据源是入侵检测最原始的数据来源，它是入侵检测所使用的。这些来源包括网络包、审计日志、系统日志和应用程序日志等等。

检测器从数据源提取与安全有关的数据和活动，例如不想要的网络连接(Telnet)或系统日志中用户的越权访问等等，并将这些数据发送到分析程序，以便作进一步分析。

分析人员负责分析来自探测器的数据，如果未授权或不想要的活动被检测到，就会生成警报并向管理者报告。

管理员是入侵检测中的管理部分，其主要功能是配置探测器、分析器、通知操作人员发生入侵、采取应对措施等。当管理员接到分析程序的警报时，它会通知操作者并将情况报告给它，以声音、E-mail、SNMP Trap等方式进行通知。与此同时，管理员也可以主动地处理问题，例如终止进程、切断连接、改变访问文件和网络等。操作者使用管理工具来管理入侵检测系统，并根据管理员报告采取进一步的行动。

管理网络和信息系统，管理员负责安全策略的开发和入侵检测系统的部署。

安全性策略是一种预先定义的规则，用于确定在网络中哪些活动允许发生，哪些主机可以在外部进行等等。通过对检测器、分析器和管理者应用安全策略，安全策略起作用。

根据不同的标准，入侵检测可被分为几类。根据检测方法，可根据入侵响应方式以及信息源等不同标准划分入侵检测系统。但是，传统的入侵检测划分方法根据信息的来源将其分为基于网络的入侵检测和基于主机的入侵检测。