美国国防部高级研究计划局提出的通用入侵检测框架将入侵检测系统分为四个组件,包括:事件产生器、事件分析器、()和响应单元。A.事件查看器B.事件数据库C.入侵检测器D.网络收集器

正确答案：D
入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。IETF是Internet工程任务组（InternetEngineeringTaskForce）的简写。IETF又叫互联网工程任务组，成立于1985年底，是全球互联网最具权威的技术标准化组织，主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF。所以IETF不是一种通信格式。

正确答案：D
①件产生器(EventgeneraWs，E-boxes)。负责数据的采集，并将收集到的原始数据转换为事件，向系统的其他模块提供与事件有关的信息。②事件分析器（EventAnAlyzAs，A-boxes）。接收事件信息并对其进行分析，判断是否为入侵行为或异常现象。③事件数据库(EventDataBases，D-boxes)。存放有关事件的各种中间结果和最终数据的地方，可以是面向对象的数据库，也可以是一个文本文件。④响应单元（Responseunits，R-boxes）。根据报警信息做出各种反应，强烈的反应就是断开连接、改变文件属性等，简单的反应就是发出系统提示，引起操作人员注意。

正确答案：A

正确答案：A
解析：美国国防部高级研究计划局(DARPA)提出的公共入侵检测框架(Common IntrusionDetection Framework，CIDF)由4个模块组成。
  (1)事件产生器(Event generators，E-boxes)：负责数据的采集，并将收集到的原始数据转换为事件，向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面：系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息等。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息，并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
  (2)事件分析器(Event Analyzers，A-boxes)：接收事件信息并对其进行分析，判断是否为入侵行为或异常现象，分析方法有下面三种：
  ①模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。
  ②统计分析：首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile)，这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时，就认为有可能发生入侵行为。
  ③数据完整性分析：主要关注文件或系统对象的属性是否被修改，这种方法往往用于事后的审计分析。
  (3)事件数据库(Event Databases，D-boxes)：存放有关事件的各种中间结果和最终数据的地方，可以是面向对象的数据库，也可以是一个文本文件。
  (4)响应单元(Response units，R-boxes)：根据报警信息做出各种反应，强烈的反应就是断开连接、改变文件属性等，简单的反应就是发出系统提示，引起操作人员注意。
  因此，入侵检测系统的构成中不包括预警单元，故选A。