入侵檢測利用的信息一般來自四個方面，其中不正確的是（）。
A . 系統(tǒng)和網絡日志文件
B . 終端目錄和文件
C . 程序執(zhí)行中的不期望行為
D . 物理形式的入侵信息
入侵檢測利用的信息一般來自以下四個方面：
1.系統(tǒng)和網絡日志文件
黑客經常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網絡日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統(tǒng)。
2.目錄和文件中的不期望的改變
網絡環(huán)境中的文件系統(tǒng)包含很多軟件和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。
3.程序執(zhí)行中的不期望行為
網絡系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網絡服務、用戶起動的程序和特定目的的應用，例如數據庫服務器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現。每個進程執(zhí)行在具有不同權限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數據文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設備和其它進程，以及與網絡間其它進程的通訊。
4. 物理形式的入侵信息
這包括兩個方面的內容，一是未授權的對網絡硬件連接；二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛(wèi)，如果他們能夠在物理上訪問內部網，就能安裝他們自己的設備和軟件。依此，黑客就可以知道網上的由用戶加上去的不安全（未授權）設備，然后利用這些設備訪問網絡。