【正确答案】 A

【答案解析】 入侵检测过程一般分为三个步骤：信息收集、信息分析和结果处理。 信息收集：信息收集是指利用IDS收集系统、网络、数据及用户活动的行为和状态，并利用所知道的真正、精确而完整的软件来报告这些信息，对来自不同源的信息进行特征分析比较之后得出问题的所在。 信息分析：主要采用两种技术进行分析：模式匹配(误用)、统计分析(异常)。 模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。该方法检测准确、效率高，但相应数据库要不断升级。 统计分析：将用户、文件、目录、设备等的访问次数、操作失败次数、延时等属性的平均值与它们的实时行为进行比较，当观测值超常则认为有入侵。该方法能发现未知、复杂入侵，但误报、漏报率高，方法推理复杂，目前处于热点研究之中。 结果处理：在发现了攻击企图或违背安全策略的网络行为时，入侵检测系统需要及时对这些网络行为进行响应。响应的行为包括： 1)告警； 2)记录：记录入侵的细节和系统的反应； 3)反应：进行响应的处理进行进一步的处理； 本题选择A正确。