第一步是进行信息收集,收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等,与渗透测试的信息收集还有所不同。
数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等;
数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、噪声,并且进行数据标准化及格式化处理);
数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵行为;
响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留入侵证据以作他日调查所用,同时向管理员报警。
