图5区域子系统内部布置图

     本系统采用软硬结合四层“探测器（Sensor），数据采集器（Data_Gather），数据库（Database），控制台（Console）”分布式模块化的体系结构，多点进行信息采集，集中到中心进行数据分析。这种方式结构灵活，易于拓展，模块之间的关系比较合理，并可以进行并行的开发等技术优点，能自动适应不同规模网络的需要。探测器平面负责数据的采集、重组和过滤；数据采集平面负责数据的实时分析，数据还原并支持模块化结构；数据存储平面负责数据的存储和查询；控制管理平面负责策略管理、数据的显示、报警和事后分析。?

5.1探测器的基本设计。?

　　基本设计思路，探测器工作在网络的底层，主要功能是监听网络流量，收集指定类型(WWW, BBS, E?mail)的数据包，并将其转发到上层进行处理。为提高监听效率，在该模块中只对数据进行监听和判断，而不做复杂的分析、处理。数据采集的内容包括系统访问记录、网络流量状况、访问数据内容及用户活动的状态等要素。探测器（Sensor）是由三部分组成的，包括：Shell模块（idssh），通信控制模块（ids），处理模块（jids）。Shell模块提供命令行接口使用户可以手动更改探测器的部分配置信息启动、停止探测器。通信控制模块接收与执行控制台命令发送命令执行结果的反馈向控制台发送探测器的告警信息，状态信息，出错信息；jids模块发送所捕获到的审计数据流给通信控制模块。?