之前有透過 入侵偵測系統（IDS）的簡介 帶大家了解「何謂 IDS、我們需要使用 IDS 的原因、入侵偵測系統的類型」。

這篇開始更深入探索！介紹 IDS 的通用模型～

本篇大綱
一、IDS 的通用模型——CIDF 模型是什麼？
二、CIDF 模型的組成元件
　　　1. 事件產生器（Event generators）
　　　2. 事件分析器（Event analyzers）
　　　3. 回應元件（Response units）
　　　4. 事件資料庫（Event databases）

一、IDS 的通用模型——CIDF 模型是什麼？

CIDF（Common Intrusion Detection Framework）是一種用於協調和統一不同的入侵偵測系統（IDS）和入侵防禦系統（IPS）的框架。如此一來，便能提供一個統一的平台，來方便管理和整合多種不同廠商和型號的 IDS 和 IPS，以增強網路安全和降低管理成本。另外，也可以整合事件管理介面，用來查看、分析來自各種 IDS 和 IPS 的事件數據。

二、CIDF 模型的組成元件

下圖是 CIDF 的模型架構圖：

那我們就來看看這四個主要元件分別的用途是什麼吧！

1. Event generators（事件產生器）

• Event generators 是負責收集、轉發不同來源的安全事件資訊的元件。而這些安全事件資訊稱為「事件」（Event）。
• IDS 是否能準確地找出入侵者，大部分是取決於這些 Event 的正確性與完整性。

那些被收集的 Event，包含：系統、網路、用戶的狀態和活動行為。
而收集方法通常分為以下 5 種：
　　　1.System Log（系統日誌）和 Network Log（網路日誌）
　　　2.目錄及檔案稽核
　　　3.程式執行稽核
　　　4.Traffic Collection（訊務收集）
　　　5.實體網路架構

2. Event analyzers（事件分析器）

Event analyzers 會負責分析和評估來自 Event generators 的 Event 的元件。它們使用事先定義的規則、模式或算法來檢測潛在的安全威脅或異常行為，協助識別 Event 的重要性和相關性。

3. Response units（回應元件）

Response units 負責對檢測到的 Event 採取適當的行動。這些行動可以包含：產生警報、隔離或封鎖威脅、啟動恢復的程序等等，目標是減輕或中止潛在的安全威脅。

4. Event databases（事件資料庫）

• Event databases 是用於存儲 Event 的元件。這些資料可以用於後續的查詢、分析、回溯和報告。通常，Event databases 就是 IDS 和 IPS 整合後的存儲位置，以便安全團隊能夠檢視歷史 Event 資料，並進行趨勢分析。
• 它的做法類似防毒系統，會記憶各種常見的病毒特徵，並且隨時下載、更新至使用者的電腦上，只要使用者收到訊息時，會經由此存放病毒的 Event databases 作比對，判斷是否有相同的資料，如果有發現相同的資料，便會拒絕該資料進入系統。

今天有加班的各位辛苦啦～
就先簡單認識完 CIDF 模型～明天再來繼續學習入侵偵測技術！