IDS的技术手段其实并不很神秘，接下来本文会用一种“顺藤摸瓜”的脉络，给大家介绍一个较简单的IDS入门级构架。从市场分布、入手难易的角度来看，选择NIDS作为范例进行部署，比较地恰当。本文以完全的Windows平台来贯穿整个入侵检测流程，由于篇幅所限，以定性分析角度来陈述。

　　预备知识

　　IDS：Intrusion Detection System（入侵检测系统），通过收集网络系统信息来进行入侵检测分析的软件与硬件的智能组合。

　　对IDS进行标准化工作的两个组织：作为国际互联网标准的制定者IETF的Intrusion Detection working Group（IDWG，入侵检测工作组）和Common Intrusion Detection Framework（CIDF，通用入侵检测框架）。

　　IDS分类：Network IDS（基于网络）、Host-based IDS（基于主机）、Hybrid IDS（混合式）、Consoles IDS（控制台）、File Integrity Checkers（文件完整性检查器）、Honeypots（蜜罐）。事件产生系统

　　根据CIDF阐述入侵检测系统（IDS）的通用模型思想，具备所有要素、最简单的入侵检测组件如图所示。根据CIDF规范，将IDS需要分析的数据统称为Event（事件），Event既可能是网络中的Data Packets（数据包），也可能是从System Log等其他方式得到的Information（信息）。

　　没有数据流进（或数据被采集），IDS就是无根之木，完全无用武之地。

　　作为IDS的基层组织，事件产生系统大可施展拳脚，它收集被定义的所有事件，然后一股脑地传到其它组件里。在Windows环境下，目前比较基本的做法是使用Winpcap和WinDump。

　　大家知道，对于事件产生和事件分析系统来说，眼下流行采用linux和Unix平台的软件和程序；其实在Windows平台中，也有类似Libpcap（是Unix或Linux从内核捕获网络数据包的必备软件）的工具即Winpcap。

　　Winpcap是一套免费的， 基于Windows的网络接口API，把网卡设置为“混杂”模式，然后循环处理网络捕获的数据包。其技术实现简单，可移植性强，与网卡无关，但效率不高，适合在100 Mbps以下的网络

　　相应的基于Windows的网络嗅探工具是WinDump（是Linux/Unix平台的Tcpdump在Windows上的移植版），这个软件必须基于Winpcap接口（这里有人形象地称Winpcap为：数据嗅探驱动程序）。使用WinDump，它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况，可以在一定程度上有效监控来自网络上的安全和不安全的行为。