下图为 DARPA 提出的公共入侵检测框架示意图,该系统由4个模块组成。其中模块①~④分别是(__)。
DARPA提出的公共入侵检测框架CIDF是入侵检测领域的经典标准化架构,它将入侵检测系统划分为四大协同运作的核心模块。事件产生器负责从事件源采集原始数据,生成原始或低级事件,为后续分析提供基础输入;事件数据库存储各类事件信息,为事件的回溯分析、追踪溯源提供数据支撑;事件分析器作为核心分析模块,对原始事件进行关联推理等操作,生成可精准识别入侵行为的高级事件;响应单元则依据分析结果,执行报警提示、攻击连接阻断、日志记录等针对性响应处置操作。该框架明确了入侵检测系统的功能边界与分工,为各类入侵检测系统的设计开发提供了通用参考范式。
本题考察的是DARPA 公共入侵检测框架(CIDF, Common Intrusion Detection Framework)的结构组成。
CIDF 将入侵检测系统划分为四大核心模块:
① 响应单元(Response Unit, RU):接收分析结果后产生响应措施,如报警、阻断攻击连接、记录日志等。图中模块①输出“事件或反应”,符合响应单元的功能。
② 事件分析器(Event Analyzer, EA):接收来自事件产生器的原始或低级事件,对其进行分析、关联和推理,生成高级事件并传递给响应单元。图中模块②输入“原始事件”,输出“高级事件”,符合事件分析器的作用。
③ 事件数据库(Event Database, EDB):用于存储事件信息,支撑后续分析与追踪。图中模块③标注为“事件存储信息”,符合事件数据库的功能。
④ 事件产生器(Event Generator, EG):负责从事件源中收集原始数据并生成事件,提供给分析器使用。图中模块④输入“事件源”,输出“原始或低级事件”,完全符合事件产生器的定位。
因此,选择 D。