公共入侵检测框架

（图中箭头方向，可知，从4开始，故分析路径为4231）

入侵检测技术的核心包括两个方面：

一是如何充分并可靠地提取描述行为的特征数据；

二是如何根据特征数据，高效并准确地判断行为的性质。

它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统的实现过程如下图所示：

IETF将一个入侵检测系统分为4个组件：事件产生器（Event Generators）；事件分析器（Event Analyzers）、响应单元（Response Units ）、事件数据库（Event Databases ）。

①事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

②事件分析器分析得到的数据，并产生分析结果。<

③响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

④事件数据库是存放各种中间数据和最终数据地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

这四个组件对应公共入侵检测框架示意图如图所示：