智慧园区物联网平台应用与行业分析
                    Smart Park IoT Platform Application and Industry Analysis


                  1. 入侵检测系统的体系结构
                  DorothyDenning 在 1987 年提出 fIDS 的通用模型 CIDF（Common Intrusion
             Detection Framework），它将入侵检测系统分为：事件产生器、事件分析器、事件数据库、
             响应单元和目录服务器组成。CIDF 将 IDS 需要分析的数据统称为事件，它既可是网

             络中的数据包，也可是从审计日志等其他途径中获得的信息。CIDF 定义的入侵检测
             系统体系结构如图 2-3 所示。



















                                         图 2-3 入侵检测系统示意

                  ①事件生成器：它是采集和过滤事件数据的程序或模块。负责收集原始数据，它

             对数据流、日志文件等进行追踪，然后将搜集到的原始数据转换成事件，并向系统的
             其他部分提供此事件。
                  ②事件分析器：事件分析器是分析事件数据和任何 CIDF 组件传送给它的各种数
             据。例如将输入的事件进行分析，检测是否有入侵的迹象，或描述对入侵响应的响应

             数据，都可以发送给事件分析器进行分析。
                  ③事件数据库：负责存放各种原始数据或已加工过的数据。它从事件产生器或事
             件分析器接收数据并进行保存，可以是复杂的数据库，也可以是简单的文本。

                  ④响应单元：是针对分析组件所产生的分析结果，根据响应策略采取相应的行为，
             发出命令响应攻击。
                  ⑤目录服务器：目录服务器用于各组件定位其他组件，以及控制其他组件传递的
             数据并认证其他组件的使用，以防止入侵检测系统本身受到攻击。目录服务器组件可

             以管理和发布密钥，提供组件信息和用户组件的功能接口。
                  2. 入侵检测系统的功能
                  入侵检测系统是对敌对攻击在适当的时间内进行检测并做出响应的一种工具。它

             能在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误
             操作的实时保护，在计算机网络和系统受到危害之前进行报警、拦截和响应。入侵检


             82