入侵检测所依赖的基本工具包括审计记录，该工具主要运用两种方法；现分享一个关于操作系统的ppt来进一步阐述这一点

入侵检测的基本工具是审计记录，使用两种方法： 本地审计记录：用来收集用户行为的信息，由于所有的多用户操作系统都有收集用户行为的软件，好处是不需要另外的收集软件了。但缺点是本地审计记录可能未包含所需要的信息或者不是所需的形式。 检测专用的审计记录：可以用一种收集装置来生成只包含入侵检测需要的审计记录，好处在于可独立运行，并可对大量系统，其不足之处在于需要额外开销。