一、概念介绍

入侵检测：对入侵行为的发觉。
通过计算机网络或计算机系统的关键点采集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统(Instrusion Detection System, IDS)：实现入侵检测功能的软件和硬件的集合。

二、IDS通用模型:CIDF

CIDF 由四部分组成：事件生成器、事件分析器、事件响应器、事件数据库

• 事件产生器：采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。并且将这个数据进行保存，一般是保存到数据库中。
• 事件分析器：①用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；②是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。
• 事件响应器：是协同