3.6　模型的信息源

入侵检测系统的信息源包括主机上操作系统的审计日志、网络数据包以及其他应用程序日志。操作系统中的审计日志中经常留有黑客的踪迹，它是系统活动信息的集合，每一个审计记录描述了一个单一的系统事件，只要用户的操作和用户触发的进程进行系统调用和执行命令（本地或远程的），就会产生这些记录，如由后台进程syslogd产生的syslog日志。通过在服务器和局域网内的待监测主机上安装一套日志检测软件来收集信息，检测内容包括登录信息、访问信息和软件的使用信息、CPU的使用、磁盘的输入输出、内存使用率、当前连接等。

网络数据包的分析是本文研究的重点，因为网络包的传输是整个网络行为的基础。与主机日志数据相比，网络数据包提供的信息可以使IDS在攻击未抵达主机时就发现入侵。网络活动可以用一系列具有时序关系的事件来描述，有关事件的信息数据可以利用网络嗅探器（Network Sniffer）、NFR、tcpdump等工具或防火墙的审计机制等获得。这些网络事件数据经过预处理后作为信息源输入IAIDM模型中进行分析。下面给出IAIDM模型评估数据集的说明、特征属性的选择及预处理的过程。