CIDF模型的概念及其组成部分是什么？

为了提高IDS产品、组件及与其他安全产品之间的互操作性，DARPA提出的建议是公共入侵检测框架(CIDF)，CIDF提出了一个通用模型，将入侵检测系统分为4个基本组件：

1. 事件产生器

CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。

2. 事件分析器

事件分析器分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件。

1)分析器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一个时间序列;

2)也可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的误用攻击特征;

3)此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于以后的进一步分析。