ids如何收集数据

A. 什么是IDS，它有哪些基本功能

IDS是入侵检测系统。

（1）基于主机的IDS保护的是其所在的系统，运行在其所监视的系统之上；

（2）基于网络的IDS保护的是整个网段，部署于全部流量都要经过的某台设备上。

入侵检测可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

(1)ids如何收集数据扩展阅读：

按输入入侵检测系统的数据的来源来分，可以分为三类：

1、基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；

2、基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；

3、采用上述两种数据来源的分布式入侵检测系统：它能够同时分析来源于系统的审计日志和来源于网络的信息流，这种系统一般由多个部件组成。