IDS的体系结构

　　IDS在结构上可划分为数据收集和数据分析两部分。

　　一、 数据收集机制

　　数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大，检测就会失去作用；如果数据不完整，系统的检测能力就会下降；如果由于错误或入侵者的行为致使收集的数据不正确，IDS就会无法检测某些入侵，给用户以安全的假象。

　　1． 分布式与集中式数据收集机制

　　分布式数据收集：检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。

　　集中式数据收集：检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。

　　集中式和分布式数据收集方式的区别通常是衡量IDS数据收集能力的标志，它们几乎以相同的比例应用于当前的IDS产品中。据专家预言，分布式数据收集机制在若干年后将会占有优势。

　　2． 直接监控和间接监控

　　如果IDS从它所监控的对象处直接获得数据，则称为直接监控；反之，如果IDS依赖一个单独的进程或工具获得数据，则称为间接监控。

　　就检测入侵行为而言，直接监控要优于间接监控，由于直接监控操作的复杂性，目前的IDS产品中只有不足20%使用了直接监控机制。

　　3． 基于主机的数据收集和基于网络的数据收集

　　基于主机的数据收集是从所监控的主机上获取的数据; 基于网络的数据收集是通过被监视网络中的数据流获得数据。

　　总体而言，基于主机的数据收集要优于基于网络的数据收集。

　　4． 外部探测器和内部探测器

　　外部探测器是负责监测主机中某个组件（硬件或软件）的软件。它将向IDS提供所需的数据，这些操作是通过独立于系统的其他代码来实施的。

　　内部探测器是负责监测主机中某个组件（硬件或软件）的软件。它将向IDS提供所需的数据，这些操作是通过该组件的代码来实施的。

　　外部探测器和内部探测器在用于数据收集时各有利弊，可以综合使用。

　　由于内部探测器实现起来的难度较大，所以在现有的IDS产品中，只有很少的一部分采用它。